مضى على الشبكة و يوم من العطاء.

  • تحذير: يجب على كل روّاد الشبكة تشغيل برامج الاختراق داخل الأنظمة الوهمية وهي بهدف التعلم وحماية الأعضاء والتوعية بها

[ شرح ] ماذا بعد إيقاف VBscript ؟ وما هي طرق تشغيل VBscript بعد إيقافه؟ | أفكار + نقاش

STORM

STORMSTORM is verified member.

>_ عضو ماسي _<
>:: v1p ::<

السمعة:

ba4f3d55fce91.webp


كيف الحال أعضاء وزوار شبكة شل العربية ,عساكم بخير؟

بعد قرار شركة مايكروسوفت بإيقاف VBscript داخل نظام ويندوز حسب هذا المصدر :
techcommunity.microsoft.com

VBScript deprecation: Timelines and next steps | Windows IT Pro Blog

Learn about the deprecation of Visual Basic Scripting edition.
techcommunity.microsoft.com techcommunity.microsoft.com

واستكمالًا لتعليقي على هذا الموضوع داخل الشبكة :
لشرح العملية لازم نصل لبضع مفاهيم مهمة تخص الـ PowerShell :

أول شيء لازم نتكلم عنه هو COM Objects وهي تكنولوجيا تستخدمها مايكروسوفت Component Object Model لحتى تخلي البرمجيات المختلفة تقدر تتكلم مع بعضها البعض عن طريق إنشاء Binary software components , والهدف منها هي إتاحة المجال لبناء اتصال بين لغات البرمجة المختلفة أو حتى بين عمليات المعالجة المختلفة (Different Proccess)، طبعًا لو سألنا أنفسنا سؤال، على أي مستوى من لغات البرمجة مثلاً؟

بإمكانك تحكي على مستوى لغة C++ ولغة C# أو JavaScript وبناء Components للتواصل فيما بينهم, ومن الممكن أن Javascript استخدام COM Object مكتوب بلغة C++ , وحتى على صعيد الميزات لكل لغة برمجة فمثل ما نعلم أن كل لغة لها نماذج مختلفة عن الأٌخرى وميزات مختلفة أيضاً مثل (OOP و Procedural) , ومن أحد الأمثلة اللطيفة هي تشغيل notepad.exe عن طريق WScript.shell عن طريق COM Object

ولحتى أقوم بإنشاء COM Object باستخدام الـ PowerShell ،بستخدم هذا الأمر :
كود: 
$shell = New-Object -ComObject WScript.Shell

اللي مسؤول عن إنشاء أوبجكت جديد قد يكون .net أو com , وأنا بعدها أقوم بتحديد الأوبجكت عن طريق تمرير باراميتر -ComObject , وبعدها أقوم بتحديد الـ (Programmatic Identifier) للـ com object وهو WScript.shell التابع لـ WSH أو Windows Script Host , ويتم تخزين هذا الأوبجكت داخل متغير اسمه $shell حتى أقدر استخدم المتغير فيما بعد لاستدعاء الأوبجكت.

مثال :

1720047433950.webp

وبعد هيك بكتب VBscrpt code بطبع فيه مسج داخل مسج بوكس وبكتب Hello From Arabian Shell Network!! مثل النتيجة :

1720047602312.webp

وبعد ما أكتب كود vbScrtipt بقوم بتخزينه داخل مجلد TEMP وبقوم بتسميته اسم عشوائي عن طريق دالة GetTempFileName() وبضيف صيغة الملف vbs آخر الإسم.

وبعدها بشغل السكربت عن طريق هذا الأمر
كود: 
$shell.Run($tempFile)

378908.webp

وأيضًا من الطرق الأخرى لتخطي هذا الإيقاف, يمكنك تشغيل vbScript عن طريق ملفات HTA اللي هي ملفات لغة HTML مع صلاحيات أخرى داخل بيئة نظام ويندوز

مثال:

1720048341320.webp


1720048372295.webp

باستخدام كود HTML هذا :
HTML: 
<!DOCTYPE html>
<html>
<head>
    <title>VBScript in HTA #STORM</title>
    <htapublic: = "yes" />
</head>
<body>
    <h1>Hello from VBScript in HTA!</h1>
    <script language="VBScript">
        Sub Window_OnLoad
            MsgBox "Hello From Arabian Shell Network!!"
        End Sub
    </script>
</body>
</html>

مثل ماهو واضح من الكود المستخدم, تم تشغيل msgBOX من خلال استتدعاء VBScript

378908.webp

وأيضاً طريقة أخرى لتشغيل vbScript من خلال برامج Microsoft Office عن طريق استخدام Word Macros

مثال :

1720048855135.webp

قم بتشغيل Developer من Customize Ribbon من قائمة Options داخل word

1720049135985.webp

وداخل هذا المودل بتحط هذا الكود :
كود: 
Sub MaliciousMacro()
    Dim message
    message = "Hello From Arabian Shell Network!!"
    MsgBox message
End Sub

1720049226918.webp

وبتقوم بتشغيل السكربت وهاي النتيجة :

1720049257624.webp


وهنالك طرق أُخرى أيضًا، وكان هذا بعض منها.

إن أصبت فهو من الله وإن أخطأت فهو من نفسي والشيطان.

378908.webp

هذا الموضوع إهداء إلى ErrorBinary ITACHI Kristof JOR-GHOST sampop OldMe أبو البراء

378908.webp



548600.webp
 
التعديل الأخير بواسطة المشرف:
جزاك الله الف خير عاشت ايدك كلامك ذهب وقدمت معلومات قيمه ❤
 
STORM قال:
مشاهدة المرفق 11359

كيف الحال اعضاء وزوار شبكة شل العربية عساكم بخير؟

بعد قرار شركة مايكروسوفت بإيقاف VBscript داخل نظام ويندوز حسب هذا المصدر :
techcommunity.microsoft.com

VBScript deprecation: Timelines and next steps | Windows IT Pro Blog

Learn about the deprecation of Visual Basic Scripting edition.
techcommunity.microsoft.com techcommunity.microsoft.com
واستكمالا لتعليقي على هذا الموضوع داخل الشبكة :

مشاهدة المرفق 11367

لشرح العملية لازم نأصل لبضع مفاهيم مهمة تخص ال PowerShell
اول شي لازم نتكلم عنه هو COM Objects وهي تكنولوجيا تستخدمها مايكروسوفت Component Object Model لحتى تخلي البرمجيات المختلفة تقدر تتكلم مع بعضها البعض عن طريق انشاء Binary software components والهدف منها هي اتاحة المجال لبناء اتصال بين لغات البرمجة المختلفة او حتى بين عمليات المعالجة المختلفة (Different Proccess)، طبعاً لو سألنا انفسنا سؤال على اي مستوى من لغات البرمجة مثلاً؟
بإمكانك تحكي على مستوى لغة C++ ولغة C# او JavaScript وبناء Components للتواصل فيما بينهم ومن الممكن ان Javascript استخدام COM Object مكتوب بلغة C++ وحتى على صعيد الميزات لكل لغة برمجة ف زي ما نعرف ان كل لغة لها نماذج مختلفة عن الاخرى وميزات مختلفة ايضاً مثل (OOP و Procedural) ومن احد الامثلة اللطيفة هي تشغيل notepad.exe عن طريق WScript.shell عن طريق COM Object
ولحتى اقوم بإنشاء COM Object بإستخدام ال PowerShell ،بستخدم هذا الامر :
كود: 
$shell = New-Object -ComObject WScript.Shell
اللي مسؤول عن انشاء اوبجكت جديد قد يكون .net او com وانا بعدها اقوم بتحديد الاوبجكت عن طريق تمرير باراميتر -ComObject وبعدها اقوم بتحديد ال (Programmatic Identifier) لل com object وهو WScript.shell التابع ل WSH او Windows Script Host ويتم تخزين هذا الاوبجكت داخل متغير اسمه $shell حتى اقدر استخدم المتغير فيما بعد لإستدعاء الاوبجكت.

مثال :
مشاهدة المرفق 11360

وبعد هيك بكتب VBscrpt code بطبع فيه مسج داخل مسج بوكس وبكتب Hello From Arabian Shell Network!! مثل النتيجة :

مشاهدة المرفق 11363

وبعد ما اكتب كود vbScrtipt بقوم بتخزينه داخل مجلد TEMP وبقوم بتسميته اسم عشوائي عن طريق دالة GetTempFileName() وبضيف صيغة الملف vbs اخر الاسم.

وبعدها بشغل السكربت عن طريق هذا الامر
كود: 
$shell.Run($tempFile)

مشاهدة المرفق 11368

وايضاً من الطرق الاخرى لتخطي هذا الايقاف يمكنك تشغيل vbScript عن طريق ملفات HTA اللي هي ملفات لغة HTML مع صلاحيات اخرى داخل بيئة نظام ويندوز
مثال:

مشاهدة المرفق 11369

مشاهدة المرفق 11370

بإستخدام كود HTML هذا :
HTML: 
<!DOCTYPE html>
<html>
<head>
    <title>VBScript in HTA #STORM</title>
    <htapublic: = "yes" />
</head>
<body>
    <h1>Hello from VBScript in HTA!</h1>
    <script language="VBScript">
        Sub Window_OnLoad
            MsgBox "Hello From Arabian Shell Network!!"
        End Sub
    </script>
</body>
</html>

مثل ماهو واضح من الكود المستخدم تم تشغيل msgBOX من خلال استتدعاء VBScript

مشاهدة المرفق 11371

وايضاً طريقة اخرى لتشغيل vbScript من خلال برامج Microsoft Office عن طريق استخدام Word Macros مثال :

مشاهدة المرفق 11372
قم بتشغيل Developer من Customize Ribbon من قائمة Options داخل word

مشاهدة المرفق 11374

وداخل هذا المودل بتحط هذا الكود :
كود: 
Sub MaliciousMacro()
    Dim message
    message = "Hello From Arabian Shell Network!!"
    MsgBox message
End Sub


وبتقوم بتشغيل السكربت وهاي النتيجة :


وفي طرق اخرى ايضاً وكان هذا بعض منها.
ان اصبت فهو من الله وان اخطأت فهو من نفسي والشيطان.

أنقر للتوسيع...
جزاك الله خير أخي محمد وبارك الله فيك
والله أنا نوعا ما شعرت بالأسى من هالخبر نظرا لان لي ذكريات مع vbscript خصوصا انها كانت اول لغة طبقت عليها وكتبت بيها دون مصادر، أي تعلمتها من قراءة الاسكربتات الاخرى
لم تفشل أبدا في تطييب خاطري يا صديقي
ومشكور على الإهداء 💝
 
و عليكم السلام و رحمة الله و بركاته
اولاً أشكرك على الإهداء اخي STORM , أقدر لك ذلك جداً لان الموضوع كبير و عطائي في المنتدى قليل
ثانياً بالنسبة للموضوع نفسه حول vbs , الكلام عن الايقاف هذا منذ وقت طويل جداً و يوجد فعلاً طرق كثيرة للتشغيل
و قد اجاد الاخ ErrorBinary كما عهدناه في سرد الكثير منها جازاه الله عنا خيراً ..
و هو صادق في ان هنالك طرق اخرى للتشغيل قد يكون بعضها في صيغ اخرى مثل js (سوف يقول البعض هذه لغة اخرى , نعم لكن مشابهة كثيراً من ناحية مالوير)
و هنالك طرق اخرى ليست شائعة تماما مشابهة للhta المذكورة لكن بهيئة مختلفة او لنقول انها اقرب للXXE من غيرها .. اعلم بعضها لكن قد لا استطيع مشاركتها بشكل مباشر
ليس تكبراً مني لكن هي رغبة من علمني أياها , vbs فيها مساحة كبيرة فعلاً قد يتفاجئ البعض انها تتخطى ما تم نشره في الديف بوينت باربعة مرات .. تصل الى كتابة RunPE كما فعل HOUDINI في وقت اصدار النسخة الثانية من متحكم الدودة المشهور , لا احد كان يفكر في التلاعب بالبايتات من خلال سكربت vbs لان الفكرة من بناء vbs client بالاساس كان لحفظ الاهداف و اطالة امد السيطرة عليهم , و لهذا عادة تكون قليلة الخصائص (الا في اواخر الايام اصبح الناس تضيف لها التقاط صور و خصائص تجعل منها منافس غبي لمتحكمات الRAT)

خلاصة الكلام , اذا تم منعها تماما فهم بهذه الحالة سوف يقضون على MICROS حزمة Office , و هذا يعني توقف الكثير من خدمات لاتزال كثير من المؤسسات تستخدمها
فالموضوع مطول شوية هههه
و كلامي على المستوى الشرعي , انما على مستوى اساءة الاستخدام فالبدائل رائعة و اقواها ps1 عن تجربة , كتبت مالوير كامل بها و صدقني لو دمجته مع اي ملف اخر اضمن وصول الاجهزة المصابة الى ارقام رائعة (تعتمد على المجتمع الذي تستهدفه لكن اقصد بشكل عام هي تسمح بالكثير من التلاعب و بمرونة اكثر)

متابع للموضوع للتعلم اكثر لانه والله شيق جداً , ,,
 
هشتكنا و بشتكنا يا ريس

اممممم و كاني أخمن أن 👑الملثم👑 يقول ف نفسه هذا الشاب 👽 يلزمني ، لأن مركبة الضبع شغالة وندوز.
ماشاء الله...تفكير شلحوتي🔥
و اهدائك غالي يا ريس
هيك يعجبني الاجرام :cool:
 
التعديل الأخير:
مشكور أخي العزيز على الاهداء
أبدعت في الموضوع و واضح جدا كمية البحث و الاتقان في عملك و ايصالك للفكرة
مايكروسوفت تعي جيدا ما تقوم به وهدا طبيعي شركة ضخمة و عملاقة عندما تريد ان تتحدث عن المعلوميات تراها في الواجهة
ولدلك فهي مند بدايتها اعتمدت فلسفة ال backwards compatibility وادا فكرت في الغاء شيء في النضام فهي تتدرج في دلك ease into it حتى لا يحص المستخدم
فلم تتخلى عن نضام XP حتى قامت بmigration كبيرة لانضمة ال8 و 8.1 و 10 و 11
هدا ادا كان يدل على شبء فهو بدل على حسن تدبير و عبقرية هاته الشركة
OldMe قال:
و عليكم السلام و رحمة الله و بركاته
اولاً أشكرك على الإهداء اخي STORM , أقدر لك ذلك جداً لان الموضوع كبير و عطائي في المنتدى قليل
ثانياً بالنسبة للموضوع نفسه حول vbs , الكلام عن الايقاف هذا منذ وقت طويل جداً و يوجد فعلاً طرق كثيرة للتشغيل
و قد اجاد الاخ ErrorBinary كما عهدناه في سرد الكثير منها جازاه الله عنا خيراً ..
و هو صادق في ان هنالك طرق اخرى للتشغيل قد يكون بعضها في صيغ اخرى مثل js (سوف يقول البعض هذه لغة اخرى , نعم لكن مشابهة كثيراً من ناحية مالوير)
و هنالك طرق اخرى ليست شائعة تماما مشابهة للhta المذكورة لكن بهيئة مختلفة او لنقول انها اقرب للXXE من غيرها .. اعلم بعضها لكن قد لا استطيع مشاركتها بشكل مباشر
ليس تكبراً مني لكن هي رغبة من علمني أياها , vbs فيها مساحة كبيرة فعلاً قد يتفاجئ البعض انها تتخطى ما تم نشره في الديف بوينت باربعة مرات .. تصل الى كتابة RunPE كما فعل HOUDINI في وقت اصدار النسخة الثانية من متحكم الدودة المشهور , لا احد كان يفكر في التلاعب بالبايتات من خلال سكربت vbs لان الفكرة من بناء vbs client بالاساس كان لحفظ الاهداف و اطالة امد السيطرة عليهم , و لهذا عادة تكون قليلة الخصائص (الا في اواخر الايام اصبح الناس تضيف لها التقاط صور و خصائص تجعل منها منافس غبي لمتحكمات الRAT)

خلاصة الكلام , اذا تم منعها تماما فهم بهذه الحالة سوف يقضون على MICROS حزمة Office , و هذا يعني توقف الكثير من خدمات لاتزال كثير من المؤسسات تستخدمها
فالموضوع مطول شوية هههه
و كلامي على المستوى الشرعي , انما على مستوى اساءة الاستخدام فالبدائل رائعة و اقواها ps1 عن تجربة , كتبت مالوير كامل بها و صدقني لو دمجته مع اي ملف اخر اضمن وصول الاجهزة المصابة الى ارقام رائعة (تعتمد على المجتمع الذي تستهدفه لكن اقصد بشكل عام هي تسمح بالكثير من التلاعب و بمرونة اكثر)

متابع للموضوع للتعلم اكثر لانه والله شيق جداً , ,,
أنقر للتوسيع...
كنت ايام طرح دودة هوديني لكن لم أستعملها ولم يكن لدي اتصال مباشر مع المطور لكن ما قلته اثار فضولي عن الrunpe هل فعلا صنع رانبي بvbscript
اضن ان المتحكم كان بالسي شارب و الكلاينت بvbscript لم اكن اعتقد ان vbscript قد تصل الى مستوى كتابة خصائص كهاته
 
  • Like
التفاعلات: OldMe
ITACHI قال:
مشكور أخي العزيز على الاهداء
أبدعت في الموضوع و واضح جدا كمية البحث و الاتقان في عملك و ايصالك للفكرة
مايكروسوفت تعي جيدا ما تقوم به وهدا طبيعي شركة ضخمة و عملاقة عندما تريد ان تتحدث عن المعلوميات تراها في الواجهة
ولدلك فهي مند بدايتها اعتمدت فلسفة ال backwards compatibility وادا فكرت في الغاء شيء في النضام فهي تتدرج في دلك ease into it حتى لا يحص المستخدم
فلم تتخلى عن نضام XP حتى قامت بmigration كبيرة لانضمة ال8 و 8.1 و 10 و 11
هدا ادا كان يدل على شبء فهو بدل على حسن تدبير و عبقرية هاته الشركة

كنت ايام طرح دودة هوديني لكن لم أستعملها ولم يكن لدي اتصال مباشر مع المطور لكن ما قلته اثار فضولي عن الrunpe هل فعلا صنع رانبي بvbscript
اضن ان المتحكم كان بالسي شارب و الكلاينت بvbscript لم اكن اعتقد ان vbscript قد تصل الى مستوى كتابة خصائص كهاته
أنقر للتوسيع...
لا اخي مخطئ , المتحكم دلفي و العميل vbs , و نعم كان قد اضاف runPE في العميل
سوف ابحث عنها في جهازي و اشاركها إن وجدت لانها قديمة جداًَ بالنسبة لملفاتي الحالية .
 
صدقت في كل ما قولت و بالنسبة للباور شيل عندي تشفيرات و كانت تتجاوز الحمايات بامتياز
لكن يجب الاخد بعين الاعتبارات ان كل ما يقال يمكن ان يكون ليس حقيقي او يمكن تغيير القرار
لانو دائما يقولون مثلا سنوقف نظام التشغيل ابتداء من سنة 2028 و هكذا يبقي القرار معلق
الي حين تنفيده
 
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.

آخر المشاركات

فانوس

رمضان

الأعضاء المتصلون

المجموع: 28 (الأعضاء: 1, الزوار: 27)

إحصائيات المنتدى

المواضيع
3,132
المشاركات
15,413
الأعضاء
4,748
آخر عضو مسجل
فهد سعد

إعلانات

عودة
أعلى