วันจันทร์ที่ 30 มกราคม พ.ศ. 2555

การขโมยข้อมูล (Pilfering)

หัวข้อนี้ก็ไม่ได้มีอะไรสำคัญอีกเหมือนกัน เพียงแต่ ต้องหัดเป็นคนสังเกตุ และก็ งก นิดๆ เหอๆ "ทำไมผมพูดแบบนี้"
ถ้าคุณนั้นสามารถเข้าไปดูไฟล์ต่างๆจากเครื่องเหยื่อได้แล้ว (MapDrive) คุณสามารถที่จะเห็นไฟล์ข้อมูลต่างๆเช่น ไฟล์งานทั่วๆไป ไฟล์ที่เก็บpassword ไฟล์ข้อมูลของบุคคลอื่นๆ ถ้าใส่ใจกับสิ่งแวดล้อมในไฟล์ข้อมูล คุณอาจได้ประโยชน์มากกว่าที่คิดเสียอีก แต่ก็อย่าลืมเรื่องเวลาด้วยนะ อย่าไปเกาะเครื่องเหยื่อนานจนเกินไป เหยื่อคุณอาจไม่หมูก็ได้ และจะโดนสวนกลับ จนหงายเก๋ง
ลองคิดดูว่าถ้าเป็นบริษัทที่มีการแข่งขันกัน อย่างการประมูลราคางานต่างๆ ถ้าโชคดีเข้าไปดูไฟล์ที่บริษัทคู่แข่งส่งประมูล คิดดูว่าบริษัทผมจะได้เปรียบขนาดไหน เวลายื่นซองประมูลงาน เงินที่ผมประมูลต่างจากบริษัทคู่แข่งแค่ 10 บาท เพียงแค่นี้กลายเป็นว่าบริษัทผมชนะการประมูล คิกๆ เรื่องข้อมูล สมัยนี้ถือว่าสำคัญมากๆ เอาเป็นว่าถ้าใครมีข้อมูลเยอะกว่า แน่นอนกว่า จะได้เปรียบมากกว่า จริงมั้ยครับ แต่ผมมักสนใจกับไฟล์รูปมากกว่าอ่า.... ไม่โหดพอ
 
การ Map Drive
และหลังจากที่คุณได้สร้าง User Admin ในเครื่องเหยื่อได้แล้วที่ชื่อ hacker และมี password เป็น passhack และก่อนหน้านี้คุณได้แสกนเครื่องเหยื่อแล้วว่าเครื่องเหยื่อได้เปิด share ที่ไดร์ฟ C: (ถ้า งง กลับไปอ่านเรื่อง scan ใหม)ให้คุณพิมพ์คำสั่งด้านล่างนี้เพื่อเข้าไป MapDrive C: ของเครื่องเหยื่อ
net use \\ 203.114.234.5 \ C$ passhack /u:hacker
คำสั่งบนนี้ จะเป็นการเชื่อมต่อไปที่ share drive c: ในเครื่องเป้าหมาย โดย PasswordAdmin เป็นสิ่งที่ได้มาจากขั้นตอนด้านบนเรียบร้อยมาแล้วนะครับ โดยเครื่องนั้นต้องเปิด share C$ มาก่อนหน้านี้ แต่ถ้าคุณได้ใช้คำสั่งนี้แล้วยังเชื่อมต่อ (connect) ยังไม่ได้อีกคุณอาจต้องพิมพ์
net use \\ 203.114.234.5 \ C$ passhack /u:203.114.234.5\ hacker
โดยเพิ่ม 203.114.234.5 มาตรงหน้า user Admin ขึ้นมาครับหรือ
net use \\ 203.114.234.5 \ C$ passhack /u:ชื่อเครื่องเหยื่อหรือชื่อ domain\ hacker
แต่ถ้าพิมพ์เป็น net use \\ ...IP เหยื่อ.. \D$ passhack /u: hacker
D$ เป็นการ connect เชื่อมต่อที่ share ของ drive D:
ซึ่งตอนนี้อาจลองเช็คดู IP ที่หน้าต่างดอสนี้โดยลองพิมพ์ ipconfig หรือใช้คำสั่ง dir ในหน้าต่างนี้ เพื่อให้แน่ใจว่าเป็นเครื่องเป้าหมาย ถ้าลองดูแล้วเป็นเครื่องเป้าหมายจริงๆ ก็เหมือนกับคุณได้นั่งอยู่หน้าเครื่องเป้าหมายจริงๆ การพิมพ์คำสั่งต่างๆในหน้าต่างนี้ ก็คือการสั่งคำสั่งต่างๆในเครื่องเป้าหมาย ไม่ใช่เครื่องคุณ และคุณอาจส่งไฟล์ไปโดยโปรแกรม remote เพื่อที่จะสร้างทางลับต่าง เพื่อที่จะเข้าไปควบคุมอีก ในโอกาสหน้า การส่งโปรแกรมไปนั้น

อีกวิธีแบบง่ายๆ ไม่ต้องยุ่งยากแบบวิธีด้านบน

Terminial Service นั้นจะเป็นการอนุญาตให้ Admin สามารถรีโมทมากระทำการแก้ไขส่วนต่างๆภายในคอมพิวเตอร์จากระยะไกล ได้โดยเป็น mode graphic ถ้าไม่อย่างนั้น คุณก็ต้องใช้โปรแกรม tftp32.exe โดยใช้บนดอสแบบวิธีด้านบน ถ้าเครื่องเหยื่อไม่ได้เปิด Terminial Service แล้ว คุณจะใช้วิธีแบบที่ผมสาธิตข้างล่างนี้ไม่ได้
ให้เปิดโปรแกรม Windows Explorer  ขึ้นมาก่อนครับแล้วทำตามรูปด้านล่าง

จะมีหน้าต่างขึ้นมาดังรูปด้านล่างนี้

จะเป็น drive ที่เราได้มาจากเครื่องเหยื่อ จะมาอยู่ที่ G: ของเครื่องเรา

ให้คุณใส IP เครื่องเหยื่อที่เราได้ และแชร์ที่คุณจะเข้าไปในเครื่องเหยื่อ ซึ่งเขียนได้แบบนี้
\\...IP เหยื่อ.. \IPC$ เป็นการเข้าไปที่ share ของเครื่องเป้าหมาย ** สำคัญมาก ** ซึ่งเครื่องเป้าหมายต้องเปิดรอเอาไว้และมีหลายๆตัว ที่คุณสามารจะใช้ได้ครับ IPC$ ใช้ได้ก็ต่อเมื่อ port 139 ของเครื่องเป้าหมายเปิดรออยู่ Listen นั่นเอง โดยคุณอาจแสกนไปที่เครื่องเป้าหมายก่อน ที่จะใช้คำสั่งนี้ คุณอาจเปลี่ยนไป connect เชื่อมต่อที่ share อื่นๆ ได้โดย
\\...IP เหยื่อ.. \C$
C$ เป็นการ connect เชื่อมต่อที่ share ของ drive C:
\\...IP เหยื่อ.. \D$
D$ เป็นการ connect เชื่อมต่อที่ share ของ drive D:
ให้คุณใส IP เครื่องเหยื่อที่เราได้ และแชร์ที่คุณจะเข้าไปในเครื่องเหยื่อ ซึ่งเขียนได้แบบนี้
\\...IP เหยื่อ.. \IPC$ เป็นการเข้าไปที่ share ของเครื่องเป้าหมาย ** สำคัญมาก ** ซึ่งเครื่องเป้าหมายต้องเปิดรอเอาไว้และมีหลายๆตัว ที่คุณสามารจะใช้ได้ครับ IPC$ ใช้ได้ก็ต่อเมื่อ port 139 ของเครื่องเป้าหมายเปิดรออยู่ Listen นั่นเอง โดยคุณอาจแสกนไปที่เครื่องเป้าหมายก่อน ที่จะใช้คำสั่งนี้ คุณอาจเปลี่ยนไป connect เชื่อมต่อที่ share อื่นๆ ได้โดย
\\...IP เหยื่อ.. \C$
C$ เป็นการ connect เชื่อมต่อที่ share ของ drive C:
\\...IP เหยื่อ.. \D$
D$ เป็นการ connect เชื่อมต่อที่ share ของ drive D:
จากนั้นคุณก็กดปุ่ม Finish  แล้วจะมีหน้าต่างขึ้นมา จากนั้นให้คุณใส่ Username Admin ของเครื่องเหยื่อ กับ Password ที่เราได้มาจากการทำ Brute Force หรือ Dump Password ที่เครื่องเหยื่อได้มาแล้ว

ที่มา

ข้อมูลจาก ruk-com.in.th

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

;