PlusMagi's Blog By Pitt Phunsanit Security,Windows Windows pe: net user

Windows pe: net user

2023-04-152023-04-15| phunsanitphunsanit| 0 Comment | 02:27
Categories:

การใช้ net user จาก Windows PE ( Preinstallation Environment ) หรือโหมดซ่อมแซมระบบ ( Recovery Mode ) เป็นเทคนิคคลาสสิกที่ช่างคอมพิวเตอร์และ Admin ใช้เมื่อ “ลืมรหัสผ่าน” หรือถูกล็อคไม่ให้เข้าเครื่องครับ

ในสภาพแวดล้อมนี้ ตัวตนของคุณคือ SYSTEM ( สิทธิ์สูงสุด ) ทำให้คุณสามารถจัดการ User ใน Windows หลักได้โดยไม่ต้องรู้รหัสผ่านเดิมเลย

ขั้นตอนการใช้งาน ( ฉบับเจาะลึก )

เนื่องจาก Windows PE รันอยู่บน RAM drive ( ไดรฟ์ X: ) การรัน net user เฉย ๆ จะเป็นการจัดการ User ของตัว PE เอง ( ซึ่งไม่มีประโยชน์ ) คุณต้องทำให้ Windows หลักยอมรับคำสั่งคุณก่อน ซึ่งมี 2 วิธีหลัก

ใช้เทคนิค “ปุ่มลัดมรณะ” ( Sticky Keys Hack )

นี่คือเหตุผลที่หลายคนบอกว่า net user อันตราย เพราะเราสามารถเปลี่ยนหน้าต่าง Log-in ให้กลายเป็น Command Prompt ได้

  1. บูตเข้า Windows PE ( ใช้แผ่นติดตั้ง Windows หรือ Recovery USB )
  2. หาไดรฟ์ที่ติดตั้ง Windows: ( มักจะเป็น C: หรือ D: )
  3. รันคำสั่งสำรองข้อมูลและแทนที่ไฟล์
    copy c:\windows\system32\sethc.exe c:\  (สำรองไฟล์ Sticky Keys)
copy /y c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe (เอา CMD ไปทับ)
  4. Restart เข้า Windows ปกติ: ที่หน้าจอ Log-in ให้กดปุ่ม Shift 5 ครั้งติดกัน
  5. หน้าต่าง CMD จะเด้งขึ้นมา: ตอนนี้คุณสามารถใช้ net user ได้เต็มที่ เช่น
    • net user [ชื่อยูสเซอร์] [รหัสใหม่]
    • net user [ชื่อยูสเซอร์] /active:yes ( กรณี User โดน Disable )

การจัดการผ่าน Registry ( Load Hive )

ถ้าคุณไม่อยากแก้ไฟล์ระบบ คุณสามารถ Load ฐานข้อมูล User ของ Windows หลักขึ้นมาแก้ไขได้ แต่จะมีความซับซ้อนสูงกว่าและมักจะใช้ร่วมกับเครื่องมืออย่าง chntpw ใน Linux PE มากกว่าการใช้ net user เพียว ๆ

ทำไมวิธีนี้ถึง “อันตราย” อย่างที่คุณกังวล ?

  • Physical Access = Game Over: ถ้าใครเข้าถึงตัวเครื่องและเสียบ USB Boot ได้ เขาคือเจ้าของเครื่องทันทีภายใน 2 นาที
  • ไม่ต้องมีรหัสผ่านเดิม: net user ในโหมดนี้ข้ามขั้นตอนการตรวจสอบความปลอดภัยทั้งหมด
  • ร่องรอยน้อย: หาก Hacker ทำเสร็จแล้ว Copy ไฟล์ sethc.exe กลับคืนที่เดิม เจ้าของเครื่องแทบจะไม่รู้ตัวเลยว่าโดนแอบสร้าง User ทิ้งไว้

วิธีป้องกัน ( Countermeasures )

ในเมื่อคุณทราบแล้วว่ามันทำได้ง่ายขนาดนี้ นี่คือวิธีที่คุณควรทำเพื่อป้องกันตัวเองครับ

  1. เปิดใช้งาน BitLocker ( สำคัญที่สุด ): หาก Hard Drive ถูกเข้ารหัส Windows PE จะมองไม่เห็นไฟล์ข้างใน และไม่สามารถใช้เทคนิคข้างต้นได้เลยถ้าไม่มี Recovery Key
  2. ตั้งรหัสผ่าน BIOS / UEFI: เพื่อล็อกไม่ให้เครื่องบูตจาก USB แปลกปลอมได้โดยง่าย
  3. Disable Shift Keys ( Sticky Keys ): ปิดฟีเจอร์นี้ในหน้า Settings เพื่อไม่ให้เรียกใช้หน้าต่าง CMD ได้ ( แต่ถ้า Hacker เข้าถึงไฟล์ระบบได้ เขาก็สามารถเปลี่ยนไปทับไฟล์อื่นอย่าง utilman.exe แทนได้อยู่ดี )

ข้อแนะนำเพิ่มเติม: หากคุณต้องทำแบบนี้บ่อย ๆ ในฐานะ Admin อย่าลืมทำ Snapshot หรือ Backup SAM Database ไว้ก่อนตามโน้ตที่คุณเคยบันทึกไว้ครับ เพราะการแก้ User ตรง ๆ แบบนี้บางครั้งอาจทำให้สิทธิ์ในไฟล์ ( Permissions ) เพี้ยนได้

อ่านเพิ่มเติม

ป้ายกำกับ:, , , , , , , ,