Lợi dụng StickyKey chiếm quyền truy cập hệ thống

Hôm nay ngủ quá đã luôn. Lần đầu tiên trong 1 năm trở lại đây tôi ngủ lúc 12h30 và thức dậy lúc 9h30, quá đã ! Sau khi thức dậy, việc đầu tiên là mở cái máy tính để build cái project đang làm, sau đó đi súc miệng rồi bay vô làm cho kịp. Nhưng vừa mở Y!M thì nhận được tin nhắn của đứa em :

Anh Vinh, có cách nào lấy lại cái quyền Admin không vậy ? Hồi bữa cái máy của cậu Anh cứ vào Windows là phải click chọn account (dù chỉ có 1 account). Tý tức quá, vào Account User vọc. Vọc một hồi thấy trong cái Group có 1 tài khoản Administrator, 1 cái user đang dùng (có name là John nằm trong Group Admin -> có quyền admin) và một số user Guest.

Tý thấy nhiều quá nên….disable hết ! Lỡ tay disable luôn cái user Administrator (vì có cái user John nằm trong Group Admin nên có thể disable user Administrator). Sau đó chỉ còn lại cái user John nằm trong Group Admin mà khi nhấn vào user này, nhìn bên tay phải có một biểu tượng Administrator, Tý thấy vậy nên nhấn “Remove” khỏi group Administrator ==> user John mất luôn quyền admin. Giờ không thể làm được gì hết, không thể vào Local Group để enable lại vì không có quyền Admin, không thể Defragment ổ cứng luôn.

What should I do ?

Đại ý là máy tính hiện tại đã bị vô hiệu hóa tài khoản quản trị cao nhất (Administrator). Đồng thời, tài khoản hiện tại (user John) đã bị “giáng chức” từ Admin xuống thành user bình thường (do đã bị remove ra khỏi nhóm Admin) —> user John đã biến thành user Guest, không có bất kỳ quyền hạn nào với hệ thống, làm cái gì cũng bị cấm !

Chỉ có những tài khoản ở nhóm quản trị (Administrators) hoặc tài khoản Administrator mới có quyền cho một user nào đó vào nhóm Admin mà thôi. Trong trường hợp của nó, tất cả các tài khoản thuộc nhóm Administrators đã bị vô hiệu hóa ! Vì vậy, về mặt lý thuyết thì pógiò, không có cách nào có thể giúp phục hồi bởi vì trong tay người dùng không hề có một tài khoản có quyền Admin để thực hiện bất cứ việc gì, kể cả thực hiện ngoài DOS.

Tuy nhiên có một cách có thể giúp bạn enable lại tài khoản Adminstrator và làm rất nhiều chuyện khác như xóa, di chuyển các user vào các Group khác nhau. Trong trường hợp này, tôi sẽ phục hồi lại quyền hạn Admin cho user John như lúc ban đầu mặc dù trong tay không hề có tài khoản quản trị nào. Không biết cái tiêu đề bài viết có đúng không nữa, mà tôi cũng chẳng nghĩ ra được cái khác.

Có một phương pháp mà giang hồ đồn đại là “lỗ hổng bảo mật” của Windows, vẫn áp dụng được cho đến phiên bản mới nhất là Windows 7, tôi vừa mới thực hiện thành công. Đó là lợi dụng tính năng Sticky Key của Windows. Đây là ứng dụng nhỏ dùng để hỗ trợ người khuyết tật. Khi vào màn hình đăng nhập Windows, bạn chỉ cần nhấn phím Shift 5 lần, bạn sẽ thấy cửa sổ Sticky Key hiện ra.

Su dung sticky key chiem quyen truy cap he thong

Theo mô tả kỹ thuật thì Windows sẽ sử dụng quyền hệ thống để gọi tập tin “sethc.exe” trong thư mục System32. Và thủ thuật mà giang hồ đồn đại là chúng ta sẽ đánh lừa Windows bằng cách thay thế tập tin “sethc.exe” bằng tập tin “cmd.exe”, dĩ nhiên là phải đổi lại tên. Tức là khi bạn nhấn phím Shift 5 lần, Windows sẽ gọi cửa sổ Command Prompt (thay vì gọi ứng dụng Sticky Keys) với quyền hạn của hệ thống –> như vậy bạn có thể thực thi các câu lệnh trong cửa sổ command Prompt mà không gặp vấn đề gì về quyền bởi vì quyền System là quyền cao nhất.

Vấn đề là trong trường hợp hiện tại của đứa em, nó không thể thay thế được tập tin “sethc.exe” bằng tập tin “cmd.exe” do tài khoản hiện tại hoàn toàn không có quyền gì cả –> Tập tin “sethc.exe” là tập tin hệ thống và nếu user không đủ quyền thì không thể copy, đổi tên hay xóa nó được. Giả sử user đó có quyền admin thì cũng phải thực hiện thao tác chiếm quyền truy cập thì mới mong đổi tên được.

Tôi nghĩ là trong DOS hoặc trong WinXP mini cũng không thể tác động gì được tập tin này. Vì vậy, trong trường hợp này buộc phải sử dụng môi trường Linux để thực hiện. Để làm được điều này, cách dễ nhất là tải về Hiren’sBootCD 10.6 và sử dụng Mini Linux được tích hợp sẵn.

Tóm lại, điều kiện để thực hiện :
– Windows có thể hiển thị được màn hình đăng nhập.
– Đĩa CD cứu hộ Hiren’sBootCD v10.6

Bạn có thể tìm và tải đĩa CD này trên mạng, dung lượng khoảng 270Mb. Sau khi tải về hãy giải nén và ghi nó ra thành một đĩa CD, ghi ở chế độ “Ghi ảnh” và chỉ tới tập tin ISO vừa giải nén xong. Bất cứ phần mềm ghi đĩa nào cũng có tính năng ghi đĩa từ file ISO. Có thể sử dụng CDBurnerXP.

Sau khi ghi đĩa xong, khởi động máy tính từ đĩa CD này. Nếu màn hình sau không hiện ra, bạn cần phải vào CMOS để chỉnh lại thứ tự khởi động là ưu tiên khởi động từ đĩa CD trước, sau đó mới đến ổ cứng.

Chiem quyen Admin

Từ màn hình trên, bạn chọn Mini Linux. Đợi một chút cho đến khi vào được Linux, đóng tất cả các cửa sổ nhấp chuột phải vào màn hình desktop và chọn Mount/Unmount như hình sau :

Chiem quyen Admin

Cửa sổ hiện ra, bạn chọn ổ đĩa chứa hệ điều hành Windows và bấm OK như hình sau :

Chiem quyen Admin

Cửa sổ hiện ra thông báo thành công, bấm OK

Chiem quyen Admin

Cửa sổ FileManager hiện ra, bạn chọn PCManFM và nhấn OK như hình sau :

Chiem quyen Admin

Cửa sổ truy cập file hiện ra, ở cột bên tay trái, truy cập theo đường dẫn : mnt > sda2 (ổ đĩa đã mount hồi nãy) và bạn sẽ thấy toàn bộ nội dung của ổ đĩa cài hệ điều hành Windows đang dùng.

Chiem quyen Admin

Từ đây, bạn truy cập vào thư mục “WindowsSystem32”. Tìm đến tập tin “sethc.exe” (gõ tên trên bàn phím, nó sẽ tự động nhảy đến tập tin đó). Khi đã tìm ra, nhấp chuột phải vào đó và chọn Rename như hình sau :

Chiem quyen Admin

Một cửa sổ nhỏ hiện ra, bạn đổi tên lại thành “sethc.exe.bk” và bấm OK như hình sau :

Chiem quyen Admin

Tiếp theo tìm tập tin “cmd.exe” (cũng trong thư mục System32 luôn), nhấp chuột phải vào đó và chọn Copy

Chiem quyen Admin

Sau đó nhấp chuột phải vào vùng trống và chọn Paste, cửa sổ sau sẽ hiện ra :

Chiem quyen Admin

Bạn đổi tên nó thành “sethc.exe” như trong hình và bấm Rename. Vậy là xong, giờ hãy đóng cửa sổ lại, nhấp chuột phải vào màn hình Desktop và chọn “Logout” > chọn Reboot System để khởi động lại hệ thống. Nhớ lấy đĩa CD ra khỏi ổ để nó khỏi khởi động từ đĩa CD.

Chiem quyen Admin

Sau khi khởi động lại hệ thống và đến màn hình đăng nhập Windows, bạn nhấn phím Shift 5 lần và sẽ thấy cửa sổ Command Prompt hiện ra như sau :

Chiem quyen Admin

Trước đó tôi đã gỡ bỏ user anhhangxom ra khỏi nhóm Administrators và hiện tại nó chỉ là một user Guest bình thường. Giờ tôi sẽ sử dụng dòng lệnh để cho phép user anhhangxom vào nhóm quản trị. Từ cửa sổ Command Prompt, gõ dòng lệnh “net localgroup Administrators anhhangxom /add” như hình sau :

Chiem quyen Admin

Windows thông báo việc add thành công, đóng cửa sổ này lại và truy cập vào tài khoản anhhangxom, nó đã được “thăng chức” làm Admin. Đồng thời, bạn có thể active tài khoản Administrator bằng cách gõ dòng lệnh “net user Administrator /active:yes” -> cái này thì tôi đã có lần giới thiệu rồi.

Cuối cùng cũng xong, kiếm cái gì nuốt cho no rồi làm tiếp thôi. Chỉnh sửa lại bài viết rồi gửi cho nó cái đường link để làm theo, hy vọng được. Cũng từ đây cho thấy, việc lợi dụng StickyKeys này có thể sẽ giúp người nhưng cũng có thể hại người. Nếu ai đó lợi dụng cách này để remove tài khoản của bạn ra khỏi nhóm quản trị, đồng thời vô hiệu hóa luôn tài khoản Admin thì tiêu ! Hoặc họ có thể sử dụng cách này để đăng nhập vào máy tính của bạn thông qua user cao nhất là Administrator. Hơn 90% các máy tính cài Win7 bỏ trống mật khẩu của User này và bình thường, user Administrator luôn bị Disable. Do đó, khi cần thiết thì hãy gỡ bỏ tính năng nhấn Shift 5 lần này.

21 Comments
  1. Trước đây em nhớ anh đã từng nói đến một chương trình gì đó trong một gói chương trình có thể chuyển ip đến mọi quốc gia
    Anh cho em biết tên được không.Em cần một chương trình có thể chuyển ip tùy ý mà khó mò quá

    • @Envil_Vlien : các hạ quá khen ! Thực ra thì thủ thuật này đã trên mạng từ lâu nhưng trong trường hợp…chết tiệt này buộc phải dùng Linux bởi vì chả có tài khoản nào trên máy có quyền admin cả.

      @Trần Văn Tuấn : đó là công cụ Steganos Internet Anonym trong bộ phần mềm Steganos Security Suite 2007. Chỉ có trong phiên bản 2007 và chỉ chạy được từ Vista trở xuống.

  2. Vừa mới down xong cái Steganos Security Suite 2007 nhưng không thấy cái Steganos Internet Anonym ở trong. Hình như nó là một bộ khác thì phải. Đang kiếm tiếp!

  3. Chuẩn đấy envil vlien.Chẳng thấy đâu cả
    Thôi đành tải bản riêng vậy

  4. Có 1 thắc mắc thực ra chưa nghịch cái này bào giờ cả nhưng vẫn thắc mắc
    1 tài khoản user có thể remove 1 tài khoản thuộc nhóm admin và tài khoản admin ra khỏi nhóm admin
    Hơi bị vô lý 1 tí
    Nếu được thì hơi bị nguy đấy

    • @thangnet : chỉ cần user đó thuộc nhóm admin thì nó có quyền remove các user khác ra khỏi nhóm admin luôn, trong cùng một nhóm thì quyền hạn là ngang nhau hết.
      @ThanhHai : rất tiếc là tôi không có cái nào cả.

  5. anh hàng xóm có ebook nào về thủ thuật windows 7 thì cho share cho mình với, muốn vọc cho vui. thanks

  6. Các hạ thật là Hảo thủ!!!

    Bái phục!!!

  7. Giờ đọc kỹ lại mới thấy cái user John có quyền admin, có thể tự remove mình ra khỏi nhóm admin kể cả khi ko còn tài khoản admin hoặc tài khoản nào khác có quyền admin <- cái này nguy hiểm phết!

  8. Thực ra muốn vô hiệu hóa cái này cũng không khó. Dùng TrueCrypt mã hóa toàn bộ ổ cứng thì có dùng Linux hay BSD, Solaris gì boot vào thì cũng chịu

  9. Tôi đã đổi tên và gọi được chương trình Command Prompt. Bây giờ tôi muốn đổi lại bấm phím Shift 5 lần hiện ra chương trình StickyKey (nối nôm na là trở lại ban đầu) thì phải làm sao?

    • @nguyễn an : Xin lỗi vì trả lời comment của bạn hơi lâu. Bạn có nhớ là trong bài viết có đoạn đề cập việc đổi tên tập tin “sethc.exe” thành “sethc.exe.bk” hay không. Giờ nếu bạn muốn trở về ban đầu thì bạn đổi tên tập tin “sethc.exe” (hiện tại đang là command prompt) thành “cmd.exe” như ban đầu. Sau đó đổi tập tin “sethc.exe.bk” về dạng ban đầu của nó là “sethc.exe” là được.

  10. thank you nha, để mình thử coi

  11. Hay quá! e cũng đang bị thằng bạn chung phòng cướp quyền Admin giờ thì cho nó bít tay, vậy giờ e muốn tước đoạt quyền Admin thì làm sao ạ, win XP cũng giống Vista hay seven ạ??? mong được a chỉ giáo.

    • Anh chỉ mới thử trên Windows 7 nhưng có thể nó áp dụng được cho WinXP hoặc Vista. Em có thể thử bằng cách ấn phím ở màn hình đăng nhập xem nó có hiện cửa sổ dòng lệnh hay không là biết liền.

  12. Anh hàng xóm quả là cao thủ, bái phục!
    Thanks vì mình suýt phải ghost lại máy, gặp đúng thuốc đặc trị.

  13. Thanks bạn! Rất bổ ích.

  14. Em hỏi câu này hơi gà chút là tại sao lại phải là Mini Linux chứ không phải là Mini XP vậy ạ

  15. dùng cái này lâu quá tại sao k dùng kon-boot
    nhưng không hiểu cách hoạt động của Kon-Boot
    AD có thể giải thích cách thức hoạt động của Kon-Boot đc không 🙂

Trả lời Tuan.nguyen Huỷ phản hồi