Sử dụng các tuyệt chiêu trong CMD để hack

Chào anh em, trong lúc tham khảo trang HVA mình thấy bài này hữu ích cho các anh em đang quan tâm đến các câu lệnh CMD phục vụ cho việc bảo mật nên muốn cùng chia sẻ. Anh em nào có thêm các lệnh khác thì cùng bổ sung cho bộ sưu tầm thêm hoành tráng nhé.

-------------------------------------------------------------------------------

NET là lệnh nội trú của Windows 2003, XP nên anh em không cần phải đi tìm nó ở đâu hết, cứ gõ là chạy. Chức năng của lệnh này được phân ra theo một số nhóm sau:

1. Managing Services: Quản lý dịch vụ

NET - START, STOP, PAUSE, CONTINUE

2. Managing File Shares and Printer Shares: Kiểm sóat, chia xẻ tài nguyên

NET - SHARE, VIEW, USE, FILE, SESSIONS

3. Managing Network Print jobs and Network Time: Kiểm sóat tác vụ in ấn và thời gian vào mạng

NET - TIME, PRINT

4. Managing Security: Kiểm sóat bảo mật hệ thống

NET - ACCOUNTS, USER, GROUP, LOCALGROUP

5. Network Messaging: Giao dịch nhắn tin trong mạng

NET - NAME, SEND

6. Managing Network configuration: Quản lý cấu hình của mạng

NET - COMPUTER, CONFIG_WORKSTATION, CONFIG_SERVER, STATISTICS_WORKSTATION, STATISTICS_SERVER

Bây giờ tôi xin đi vắn tắt một số lệnh của NET theo từng nhóm.

1. Managing service:

Cú pháp của lệnh như sau:

NET START [service]

NET STOP [service]

NET PAUSE [service]

NET CONTINUE [service]

Trong đó [service] chính là từ khóa hiển thị trong phần service của Control Panel

Bốn lệnh START, STOP, PAUSE và CONTINUE tương ứng với KHỞI ĐỘNG, DỪNG, TẠM NGỪNG, TIẾP TỤC cái service mà

anh em sẽ chỉ định cho nó thực thi. Để biết tên của các service đang chạy, anh em gõ vào dòng lệnh:

NET START

Lệnh này liệt kê tên đầy đủ của các service đang chạy. Muốn dừng chúng thì phải gõ NET STOP [service] với tên service viết gọn giống như trong Control Panel. Ví dụ anh em đang dùng Norton Antivirus, rủi có chép một trình nào đó như Brutus chẳng hạn thì nó cứ nhảy ra và la lên là cái file đó có trojan bên trong. Thế là nó không cho anh em chép vào máy của mình. Bây giờ gõ lệnh sau:

NET STOP navapsvc

Màn hình sẽ hiện ra

The Norton AntiVirus Auto Protect Service service is stopping.

The Norton AntiVirus Auto Protect Service service was stopped successfully.

Bây giờ anh em ngó xuống cái icon của NAV phía dưới System Tray thì thấy nó bị gạch chéo (disabled) rồi. Đó là do mình tắt bằng NET STOP.

2. Managing File Shares and Printer Shares: Kiểm sóat, chia xẻ tài nguyên

Lệnh NET này đi kèm một số tham số sau: SHARE, VIEW, USE, FILE, SESSIONS

SHARE - hiển thị những chia xẻ trên máy, ví dụ

Share name Resource Remark

-----------------------------------------------------------

IPC$ Remote IPC

D$ D:\ Default share

F$ F:\ Default share

ADMIN$ E:\WINDOWS Remote Admin

C$ C:\ Default share

E$ E:\ Default share

The command completed successfully.

Các share có dấu $ là chia xẻ tài nguyên ở mức hệ thống cho admin, thường gọi là share ẩn.

VIEW - hiển thị tất cả các máy trong cùng domain hoặc workgroup

Server Name Remark

-----------------------------------------

\\CPQ25981604619 DTLong

\\DEFAULT-EBGQAMU

\\FERRARI Formula 1

\\JITH

\\JOE-VT6094JJ9

\\KACE

\\KENGCOM KengCOM

\\LOTUS

The command completed successfully.

Bây giờ ta bàn cách chiến đấu một số máy để tìm tài nguyên. Lệnh Net View cho phép xem tài nguyên chia xẻ của các máy cùng subnet. Cú pháp câu lệnh như sau:

NET VIEW [tên máy]

Ví dụ: NET VIEW \\KACE

Nếu máy này có chia xẻ tài nguyên, màn hình sẽ hiện ra tên của các share directory, lúc này ta chỉ việc phát lệnh sử dụng tài nguyên đó mà thôi.

Để chiếm dụng tài nguyên chia xẻ, anh em có thể dùng My Network Places / Network Neighborhood để truy nhập vào, ở đây ta dùng lệnh NET USE thay cho việc dùng My Network Places

NET USE * \\tên máy\tên share

hoặc

NET USE xxx.xxx.xxx.xxx

Trong đó tên máy là tên hiện ra qua lệnh NET VIEW. Trường hợp sử dụng IP của máy trong NET USE, anh em phải gõ IP vào.

Để biết IP của máy nạn nhân, có thể lace w:st="on">PINGlace> vào tên của máy. Ví dụ

PING LOTUS

Pinging lotus [202.129.41.106] with 32 bytes of data:

Reply from 202.129.41.106: bytes=32 time<1ms TTL=128

Reply from 202.129.41.106: bytes=32 time<1ms TTL=128

Reply from 202.129.41.106: bytes=32 time<1ms TTL=128

Reply from 202.129.41.106: bytes=32 time<1ms TTL=128

Ping statistics for 202.129.41.106:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

Như vậy, máy LOTUS có địa chỉ IP là 202.129.41.106

Trong lệnh NET USE, dấu * có nghĩa là lấy tên một ổ đĩa bất kỳ (từ A-Z) rồi ánh xạ share đó vào ổ đĩa tùy chọn ấy. Nếu trên LOTUS có share một thư mục là SharedDocs thì lúc này lệnh NET USE dùng như sau:

NET USE * \\LOTUS\SharedDocs

hoặc

NET USE * \\202.129.41.106\SharedDocs

Sau khi thành công, SharedDocs biến thành ổ đĩa Z (chẳng hạn) trên máy của anh em.

Có thể chiếm dụng sâu hơn vào trong tài nguyên ẩn của máy. Lệnh gõ như sau:

NET USE * \\202.129.41.106\C$

Nếu lệnh này thành công, ổ C của máy nạn nhân sẽ "bay" về máy anh em như một ổ đĩa của mình vậy. Dùng như trên máy mình và cũng có thể xóa lung tung như nó là của mình vậy. Tương tự, phỏng đoán máy nạn nhân có thể có vài ổ đĩa như D, E, F, anh em có thể thử lệnh trên với D$, E$, F$, G$ tới khi nào nó báo lỗi thì tức là ổ đĩa đó không có trên máy của nạn nhân.

Thường thì các share ẩn này share cho account admin nên khi mình gõ lệnh đó nó sẽ hỏi Username và Password. Nếu đoán được Username (ví dụ: LOTUS) thì gõ vào rồi cũng đóan luôn mật khẩu nhé (hơi khó đấy), bằng không thì anh em nhập Administrator vào cho Username, còn để password là rỗng (sau khi nhập Username thì gõ ENTER tiếp cho phần mật khẩu). Nếu may mắn tiếp thì có thể thóat qua được. Trường hợp này là do admin máy đó sơ sẩy không đổi password mặc định của Windows sau khi cài hệ điều hành. Và như vậy anh em có thể ung dung chiếm tài nguyên của nạn nhân rồi. Anh em sẽ đi du lịch trong máy nạn nhân, chép bất cứ cái gì anh em thích như là đang trên máy mình vậy. Tuy nhiên cơ hội thành công là rất thấp. Vì thế, lệnh NET USE này thường chỉ phát huy tác dụng cao với các máy có share tài nguyên cho mọi người (ví dụ như SharedDocs).

Lưu ý, có một mẹo nhỏ. Nếu anh em chiếm được quyền admin với account Administrator và password rỗng rồi thì anh em có thể dùng con Hyena tạo ra một account cho mình trên máy nạn nhân, đề phòng trong tương lai chúng cài service pack thì NET USE hết đường làm ăn. Lúc đó có con account kia rồi dễ bề tung hoành hơn.

Mấy lệnh trên là những lệnh chính thường dùng. Các lệnh còn lại xin anh em tham khảo thêm trên mạng nhé. Chúng đơn giản nói ra sợ anh em mất thời gian đọc.

Đoạn cuối của phần này xin được giới thiệu cùng anh em các câu lệnh về máy in và kiểm sóat thời gian.

3. Managing Network Print jobs and Network Time:

TIME, PRINT

Lệnh NET TIME cho biết thời gian của đồng hồ trên máy mạng. Câu lệnh là:

NET TIME \\tên máy

Ví dụ: NET TIME \\LOTUS

Lệnh này có nhiều biến thể khác, anh em chịu khó tham khảo. Tôi giới thiệu thêm về lệnh đồng bộ hóa đồng hồ máy mình với máy chủ trên mạng, cú pháp như sau:

NET TIME \\servername /SET /YES

Trong đó servername là tên của máy chủ

Lệnh NET PRINT có cú pháp như sau: NET PRINT \\ComputerName\ShareName

Hiển thị tác vụ hiện thời trên máy in, giống như việc xem xét thông qua Printer Manager xem có những tài liệu nào đang được máy in đó in ra.

ComputerName là tên máy chủ có share máy in

ShareName là tên share của máy in đó.

Để tạm ngưng (PAUSE) một lệnh in, có thể dùng lệnh sau

NET PRINT [\\ComputerName] job# /HOLD

ComputerName là tên máy có share printer còn job# tương đương số thứ tự của tài liệu in trên danh sách các tài liệu đang được in (1,2,3,4...)

Để tiếp tục in sau khi lệnh HOLD được thi hành, gõ vào lệnh

NET PRINT [\\ComputerName] job# /RELEASE

Để xóa, delete một lệnh in, ví dụ trong trường hợp in nhầm một văn bản lớn, anh em có thể gõ lệnh

NET PRINT [\\ComputerName] job# /DELETE

-------------------------------------------------------------------------------sưu tầm

Chống lấy cắp mật khẩu

Phòng chống bị lấy cắp mật khẩu bởi Magic PS

Phòng chống bị lấy cắp mật khẩu bởi Magic PS

Hiện nay, việc dùng "con" Magic PS (chuyên dùng để lấy cắp mật khẩu khi người ta Login vào Yahoo Messenger, nó sẽ gửi thông tin về username và password cua "khổ chủ" đến một địa chỉ email đã định trước) để lấy cắp mật khẩu Yahoo tại các điểm dịch vụ Internet đã trở nên rất phổ biến, có thể nói là tràn lan. Sự lợi hại của chương trình này là nó có thể tự "biến hình" thành một định dạng tập tin bất kì và khi đã "ăn" vào trong máy tính thì ngay cả Norton Antivirus cũng chẳng thể "quét" ra.

Chỉ còn cách là tự bảo vệ mình thôi tuy nhiên không phải ai cũng biết cách phòng chống nó, biết làm cách nao để có được hiệu quả cao nhất và ít tốn thời gian nhất. Tôi xin phép được nêu ra một số cách phòng chống như sau:

I. Các phiên bản Magic PS 1.4 trở về trước

1. Cách này khá đơn giản. Bạn dùng một Nick (hay mail) nào đó không quan trọng (tất nhiên phải là Yahoo rồi) Login vào Yahoo Messenger trước. Sau đó vào Tools > Message Archive > Yes để kích hoạt chức năng xem những tin nhắn được gửi đi từ Nick của mình. Kế tiếp Login > Disconnect và lại dùng Nick đó Login một lần nữa. Bạn lại vào xem Message Archive để coi có tin nhắn nào được gửi đi từ máy của bạn không. Nếu không có thì bạn hoàn toàn có thể yên tâm dùng Nick "chính thức" của mình Login vào Yahoo Messenger mà Chat vơi bạn bè, còn ngược lại thì bạn nên bỏ ngay ý định dùng Yahoo Messenger đi mà hãy chuyển qua một máy khác hoặc dùng cách tiếp theo dưới đây.

2. Mở Regedit Editor (Start > Run > Regedit) và tìm đến những khóa sau:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run*]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*]

(Run* có nghĩa là tất cả những khóa nào bắt đầu bằng Run)

Xóa hết những String có trong đó để không cho phép Magic PS tự chạy khi Windows khởi động (ngụy trang dưới một cái tên nào đó). Logoff hoặc Restart để có hiệu lực.

II. Phiên bản Magic PS 1.5

Đối với Magic PS 1.4 và các phiên bản trở về trước bạn còn có thể dùng hai cách đã trình bày ở trên để phát hiện ra được nhưng phiên bản Magic PS 1.5 (mới nhất) đã có thêm các chức năng Delete Message Archive, Disable Taskmgr XP-2K, Disable Regedit, Disable Msconfig. Điều này có nghĩa là bạn không thể nào phát hiện ra và vô hiệu hóa nó theo cách thông thường. Sau đây là cách để đối phó:

1. Vào trang Web http://messenger.yahoo.com > Login và chat bằng Web thay vì dùng YM có sẵn trên máy tính. Cách này cũng an toàn nhưng Chat bằng Web thì lại rất chậm và bị thiếu nhiều công cụ.

2. Dùng các chương trình Chat khác thay thế cho Yahoo Messenger như Trillian, Yahoo Elite... Cách này tuy hiệu quả nhưng rất mất thời gian bởi vì nhiều chương trình dung lượng tới vài MB.

3. Bạn Login vào hộp Mail Yahoo > Mail Options > Account Information > Change Password, thay đổi mật khẩu cũ thành một mật khẩu bất kì (nhưng phải nhớ). Sau đó Login vào Yahoo Messenger với mật khẩu mới, khi đã hết Chat thì đổi mật khẩu lại như cũ. Cách này hơi tốn thời gian nhưng cũng vẫn hơn là dùng cách thứ 2.

4. Dùng một công cụ để Change Password Yahoo của bạn một cách nhanh chóng thay vì phải làm từng bước như cách 3 (các bước còn lại cũng tương tự).

5. Dùng một phần mềm chuyên dùng để "quét sạch" Magic PS trong máy tính. Bạn có thể tải chương trình Yahoopass Changer và Anti Magic PS này tại Website www.akfamily.1vn.net/soft. Cách sử dụng hết sức đơn giản và rất nhanh chóng.

Vậy là bây giờ tạm thời bạn đã có thể yên tâm là không bị Magic PS "chôm" mật khẩu được rồi. Hãy dùng cách mà bạn cho là hữu hiệu nhất để tự bảo vệ mình, đừng để cho ID và mật khẩu của bạn có trong danh sách của các Hacker.