كيفية اختراق أصدقائك

غالبًا ما يترك أصدقائي أجهزة الكمبيوتر مفتوحة ومفتوحة. أخبرهم أنه من المحتمل أن يعتادوا على إغلاق أجهزة الكمبيوتر الخاصة بهم ، لكنهم لا يستمعون إلي. لذلك قمت بإنشاء مشروع بسيط لاختراق أصدقائي وإظهار أهمية أمان الكمبيوتر لهم.

كل ما أحتاج إليه هو الانتظار حتى يتركوا أجهزة الكمبيوتر الخاصة بهم مقفلة لبضع ثوانٍ ، وفتح طرفيه الخاصة بهم ، واكتب أمرًا واحدًا قصيرًا.

هذا هو! جهاز الكمبيوتر الخاص به مصاب الآن ويمكنني تشغيل أي أوامر أريدها على هذا الكمبيوتر عن بُعد. حلوة جدا ، أليس كذلك؟ أو ربما صدمة؟

القرصنة غير قانونية. على وجه التحديد:

"الوصول عن قصد إلى [كمبيوتر] دون الحصول على إذن أو تجاوز [الوصول] المصرح به" - قانون الاحتيال وإساءة استخدام الكمبيوتر (18 الولايات المتحدة 1030)

لذلك ضع في اعتبارك أن الغرض من هذه المقالة هو إظهار مدى سهولة قيام شخص ذي نوايا سيئة باختراقك حتى تتمكن من تجنب الاختراق بنفسك.

لا يتطلب الأمر بعض عبقرية القراصنة لتدمير حياتك - أي "سيناريو طفولي" يمكنه الوصول الفعلي إلى جهاز الكمبيوتر الخاص بك يمكن أن يعرضك للخطر بتنزيل برنامج نصي يحتوي على 50 سطرًا فقط من التعليمات البرمجية.

الحصول على الإعداد

تعيش جميع الشفرات الخاصة بهذا المشروع في هذا المستودع إذا كنت تريد الانتقال مباشرةً ، ولكنني سأوضح كيف يعمل كل شيء أدناه.

أولاً ، تحتاج فقط إلى استنساخ الريبو ، وتثبيت التبعيات ، والربط بين أداة واجهة سطر الأوامر (CLI) للقرصنة.

بوابة استنساخ https://github.com/ccorcos/hack.git
بوابة عن بعد إزالة الأصل
القرصنة الإختراق
تثبيت npm
npm الرابط

بعد ذلك ، تحتاج إلى إعداد Heroku لاستضافة البرامج النصية التي سيتم تشغيلها على جهاز أصدقائك. إذا لم تكن تستخدم Heroku من قبل ، فقم بالتسجيل هنا (إنه مجاني!) وقم بإعداد أداة CLI على جهازك.

الشراب تثبيت heroku-toolbelt
تسجيل الدخول heroku

الآن داخل repo hack ، قم بإنشاء تطبيق Heroku باسم سهل التذكر. أنا أستخدم الهاكر تشيت.

heroku خلق القراصنة تشيت

ثم تحتاج إلى تشغيل أمر للقيام بالإعداد قليلاً. كل ما تفعله حقًا هو الحصول على عنوان URL الجذر لموقع الويب Heroku الخاص بك ووضعه في package.json. وبهذه الطريقة ، يمكن للخادم حقن عنوان url للتطبيق في البرامج النصية للصدفة.

تشغيل npm init

يمكنك بدء تشغيل الخادم محليًا إذا كنت تريد اختراق نفسك واختبار الأشياء.

npm البداية

أو يمكنك نشر إلى Heroku.

تشغيل npm نشر

أنت الآن جاهز للاختراق!

هاك API

إن جمال هذا البرنامج هو أنه لبدء اختراق أحد الأشخاص ، ما عليك سوى تشغيل أمر واحد على أجهزتهم.

حليقة  / اختراق | ش

ROOT_URL هو المسار المحدد لتطبيقك. عندما تقوم بتشغيل الخادم محليًا ، سيكون هذا مضيفًا محليًا: 5000 وعندما تنشر في Heroku ، سيكون الأمر مثل .herokuapp.com.

ما يفعله هذا هو إنشاء وظيفة cron - "مهمة ترتيب زمني" تقوم بإعادة تشغيل المهام في أوقات معينة - لإجراء اختبار تنفيذي بين نقطة النهاية / env / live كل دقيقة وإعطاء النتيجة للشي. إنه في الواقع بسيط للغاية! و Heroku يمنحك HTTPS مجانًا لذا حقه "آمن"؟

بمجرد اختراق صديقك ، يمكنك القيام بكل شيء آخر باستخدام أداة سطر الأوامر من جهاز الكمبيوتر الخاص بك.

أداة الاختراق لديها مفهوم مختلف البيئات اختراق. عندما تقوم باختراق شخص ما باستخدام نقطة نهاية / hack ، يبدأ هذا الشخص في البيئة الحية. ولكل بيئة ، يمكنك تشغيل مجموعة متنوعة من الأوامر المختلفة. سأعرض كل شيء مع القليل من التنزه.

فيما يلي سيتم إعادة كتابة البرنامج النصي shell بيئة حية لتنفيذ الأمر التالي الذي سيقول بصوت عالٍ "أنا أشاهدك."

الإختراق المباشر exec "قل" أنا أشاهدك "

حسنًا ، لن تعمل بعد ، فلا يزال عليك إعادة النشر إلى تطبيق Heroku.

اختراق نشر

الآن انتظر اللحظة التالية وشاهد كمبيوتر صديقك وهو يقوم بالاتصال بخادمك عن طريق تخصيص سجلات الخادم.

سجلات الاختراق

بيت القصيد من البيئات هو أنه يمكنك اختراق العديد من الأشخاص في نفس الوقت. لعزل الأشخاص في بيئات مختلفة ، تحتاج فقط إلى تغيير الاسم.

الإختراق يعيش إعادة تسمية جون

في المرة التالية التي تتعرض فيها البيئة المباشرة لضغوط ، ستقوم بإعادة كتابة مهمة cron للبدء في اختبار بيئة jon بدلاً من ذلك.

يمكنك فعل كل شيء كما هو فقط من خلال تغيير وسيطة البيئة.

الإختراق جون إكسيك "قل" مرحبا جون "

الآن إذا كان لديك ما يكفي من المرح لهذا اليوم وانتهت الحفلة ، فيمكنك أن تنسى جون وتؤكد له أنك "تزعجه".

الإختراق ينسى جون

هذا سوف يمحو وظيفة cron من أجهزة الكمبيوتر الخاصة بهم. أو قد ترغب فقط في وضع هذه البيئة في وضع الخلية النائمة بحيث يمكنك استعادتها لاحقًا.

الإختراق جون الفاصل 1D

الآن ، بدلاً من اختبار الاتصال بالخادم كل دقيقة (الإعداد الافتراضي) ، سيتم اختبار الأمر كل يوم عند منتصف الليل. وعندما تريد إيقاظها احتياطيًا ، يمكنك تغيير الفاصل الزمني مرة أخرى إلى كل دقيقة وفي اليوم التالي ، من الجيد أن تذهب!

اختراق جون الفاصل 1M

بعض الأشياء الممتعة الأخرى هي إنشاء وظائف إضافية على cron. إليك كيفية إيقاظ صديقك في الساعة 6 صباحًا كل صباح لتذكيره بأمان الكمبيوتر.

اخترق jon cron "0 6 * * * قل" صباح الخير يا جون ، تذكر ما أخبرتك به عن تأمين جهاز الكمبيوتر الخاص بك؟ "

ملاحظة إذا كنت لا تتذكر كيف تعمل وظائف cron ، فهذا مورد رائع. كل هذا يأتي إلى حد كبير في هذا المخطط الصغير.

* * * * *
| | | | |
| | | | |
| | | | + ---- يوم من أيام الأسبوع (النطاق: 1-7 ، 1 يقف ليوم الاثنين)
| | | + ------ شهر السنة (النطاق: 1-12)
| | + -------- يوم الشهر (المدى: 1-31)
| + ---------- ساعة (المدى: 0-23)
+ ------------ دقيقة (المدى: 0-59)

واحدة من المفضلة هي الإعداد المسبق لسطح المكتب الذي سيقوم بتنزيل صورة من عنوان URL معين وتعيينها كصورة خلفية.

الإختراق جون سطح المكتب مسبقا http://i.imgur.com/5FC2r9R.jpg

وإذا كنت قد كتبت الكثير من وظائف cron ولم تعرف ما الذي يوجد هناك بعد الآن ، فيمكنك استخدام الأمر dump.

الإختراق جون تفريغ "crontab -l"

الآن ، افتح سجلاتك وسترى الإخراج في الاختبار التالي. هذا هو في الواقع أكثر شرير الآن أنه يمكنك الحصول على المعلومات مرة أخرى. إذا كنت تريد أن تكون أكثر ضراوة ، فيمكنك البحث عن كلمات المرور المشفرة أو سرقة مفاتيح ssh الخاصة بهم.

اختراق جون كلمات السر محددة مسبقا
الإختراق جون مسبقا سه

ولكن إذا كنت ترغب فقط في إعطائه تخويف جيد من الطراز القديم ، فأرسل له رسالة فدية!

الإختراق جون فدية محددة مسبقا "مرحبا جون ، قلت لك لا تترك جهاز الكمبيوتر الخاص بك مقفلة."

أخيرًا ، إذا وجدت نفسك تضيف مجموعة من وظائف cron وترغب فقط في البدء من جديد ، فإن إعادة التعيين هنا للمساعدة.

الإختراق جون إعادة تعيين

اذهب الآن واستمتع (مسؤولاً) بهذا الشيء واسمحوا لي أن أعرف ما هي المزح المفضلة لديك عن طريق إرسال طلب سحب باستخدام أمر جديد أو إعداد مسبق!

القرصنة سعيد!