最终163在历史的车轮下被碾压消失。
想着这些,张朝磊心情久久不能平复,创业路漫漫,一招不慎,必将全盘皆输。
张朝磊似乎感觉到自己突然精神焕发,打起精神来,开始注意着肉串发给自己的邮箱,到目前为止,肉串还不知道自己的真实身份,她们知道自己的邮箱也仅仅是通过自己网站上所留下的@hotmail邮箱,hotmail是微软的邮箱品牌,在2000年这个中国互联网充满不稳定性的年代,张朝磊觉得用大品牌更踏实。
“您好,我们是志华爱国者黑客联盟,我们对贵站在此次中日黑客大战中的炒做表现非常愤慨,贵站在此事前前后后的表现,为中国黑客所不耻,严重违背了我们追求的黑客精神,鉴于此,今天晚上开始,我们代表中国黑客将对贵站进行全面的黑客攻击,以让你们明白,黑客要靠技术才行!口号是不管用的。”
“靠,又被代表了,‘代表’这个词太可怕了,它贯穿了中国的方方面面,新兴的互联网同样被其渗透了。悲哀。哼,你们能代表我吗?代表我也要靠技术说话。有种放马过来!”张朝磊看到代表这个词,特别是自己又被代表,灰常气愤,西盟庆很生气,后果很严重。
“我们不需要被代表,我们追求自由,我谨代表我们自己,要告诉你们:黑客是要讲技术,黑客是要低调,黑客精神,先从你我做起,本站恭候各位大神大驾光临,本站亦会对贵方进行礼尚往来。”
“难道西盟黑客网真有高手?难道是他?”看着张朝磊回复过来的邮件,肉串想到了在中日黑客大战进入攻坚阶段时,中国黑客这一方在黑掉日本科技厅网站后,自感暂时不能再黑掉更高一级网站时,已经准备鸣金收枪了,对于日本国家政府网站靠DDOS肯定是不行的,防火墙那是必然存在的,因此只能靠技术渗透入侵。在即将准备结束战役之时,一则在天涯论坛的贴子被引起了他们的注意,一个网名为“帅锅”的用户在天涯草草二行发贴透露了一个存在于日本政府网站的SQL注入漏洞,这个注入点相当隐蔽,对于天涯上的普通网民来说,看到这样的贴子肯定是如读天书,然而对于中国的职业黑客来说,就如画龙点睛般,一看到贴子,中国黑客这一方就知道怎么办了,最终由绿色兵团成功运用了这个漏洞,将中国国旗插上了日本政府网站。
而事后,中国黑客这一方也曾试图联系帅锅,曾在该贴后面回复以图取得联系,但帅锅却再也没有出现过。
“不管这些了,开始行动吧。”肉串看看时间已经九点钟了,向周围同伴扫视一眼,而后说道:“可以开始了,大家共同行动,先挖掘WEB漏洞尝试纯技术渗透入侵。”
(求推荐,求收藏,求点击,求评论,偶系写手新人,各位大人多多支持。)
第十一章 黑客间的较量
在看到肉串他们忙活起来后,张朝磊知道,战斗就要打响了,想来杨经理这会也不会懈怠,暂时张朝磊也就不管自己的网站了,即使自己网站上有技术性漏洞,那也不是一时半会能找到的,张朝磊在过去曾经多次对自己网站做过安全上的防护工作,张朝磊相信,即使有漏洞,那也不是对方一时半会能攻下的。
对方都忙起来了,自己当然不能闲着,张朝磊在流览器中输入了志华爱国者黑客联盟的网址,志华爱国者黑客联盟做为志华大学计算机协会组建的黑客组织,当然会拥有自己的网站,虽然说计算机协会人人是小白,但这种说法毕竟有些夸张,高手还是有的,比如肉串。
志华爱国者黑客联盟的网站张朝磊不是头一次访问,就在上午肉串在计算机协会的会议上公布了他们的网址后,张朝磊当时就默默记下了对方的网址,并在刚才来到网吧后,闲着无聊,已经访问了一次了。
此时打开这个网站,肉串它们竟然已经在网站上发布了一条公告:今天晚上,本联盟将向西盟黑客网发起攻击。。。。。然后就是一连串大道理,比如做人要低调,做黑客更要低调。要少说话多办事之类的。看着这些,张朝磊就纳闷了,看你们攻击起我们网站来也没看到你们有低调的成分在里头。挺高调的嘛,难道对方也想借此炒做,嗯,对,有可能,最近西盟风头正火,各大媒体到处炒作,看来连志华黑客联盟也眼红了。也想来讨一份好处。如果他们此次攻击下西盟,是不是就会让媒体产生:志华黑客联盟比西盟黑客网更加具有实力的想法呢。
这种阴谋当然不能让它得逞,想到这里,张朝磊迅速翻看着志华黑客联盟的网站,一个一个链接的打开,黑盒测试,也称盲测,首先是最简单的SQL注入测试,在可疑的动态链接上进行SQL试注入。
SQL注入在此后的06年由于明小子写的Domain旁注工具及阿D的SQL注入工具而正式走入了伪黑客的眼前,使众多不会任何技术的菜鸟级小黑也可以进行网站入侵了,然而在2000年的时候,注入还都是手动进行,猜解一个密码是相当复杂的,不过在2000年左右的时候,人们的安全意识普遍较低,密码在数据库中也一般是明文显示的,也就是没有经过任何加密的直接存放在数据库中的,这不像在随后的几年中,逐渐兴起的MD5加密存放密码一样,否则即使靠数据库猜解到密码能不能解开MD5加密也是很难说的,张朝磊是知道的,即使在2000年后的几年中有人在网上免费发布了开源源程序:西盟MD5加密与解密程序,使MD5破解成为了现实,不过这种方式也是通过庞大的数库中操作完成的,在解密系统的数据库中预先存放大量原文与加密文的数据,在破解时进行对比,对比成功加密文后,再查询得到原文,由于没有算法支持,MD5破解直到张朝磊重生前仍然是世界性难题。
不过看起来志华黑客联盟的安全系数还是挺高的,在张朝磊一番测试后,竟没有发现志华的网站存在注入点。
注入不成,找上传漏洞。
上传漏洞,又是一个各个网站常见的漏洞之一,直到2010年,张朝磊也知道,上传漏洞仍然大量存在于各种中小型网站中,上传漏洞一般是指网站由于对上传文件格式等过滤不严造成的,例如,对于各种网站可能存在着普通用户可以进行附件上传的功能,一般情况下,上传只要能够上传图片格式(jpg/gif/bmp)及压缩包文件(rar/zip)就行了,然而,如果这个网站对于上传格式没有限制的话,任何类型的文件都可以上传的话,这个时候,漏洞就产生了。例如对方的网站是基于ASP技术开发的,这时黑客只要想办法上传到其网站一个具有特殊功能的ASP文件即可实现控制全站的权限,这种ASP文件,在黑客界被称为后门(WebShell),基本功能上的差异又有大马与小马之分。
“咦,有上传功能,试试。”张朝磊马上从自己的U盘中名称为“黑客专用工具套装”的文件夹中复制出一个ASP后门,然后上传。
“对不起,您的用户组不能进行上传,您需要投稿100篇文章以上才能进行能拥有上传权限。”杯具,100篇,这数量也太多了点,如果一二篇的话,还可以试试,一百篇就算了,即使发够了,够一百篇了,到时候人家上传有没有漏洞还很难说,再说时间不等人,晚上必须将志华黑客联盟拿下。
上传漏洞仍然不可利用,以失败告终。继续换方法。
这时,张朝磊看到了志华黑客联盟的文章评论功能,在每篇文章后面都有评论选项,而在网站首页则都有最新评论的调用。对,可以试试。
张朝磊随便在其网页上点击了一个链接,进入了某篇评论页面,快速在评论功用上输入“<>”然后提交。提示成功,其后查看了下网页的HTML源文件,存在“<>”看来可以利用,张朝磊低头笑了笑。
先这样吧,先放着,如果对方攻击不断,那也就不能怪我对他们不客气了。
另一边,肉串他们也是忙的热火朝天,在几个人多次尝试注入、猜解默认后台、默认密码、默认数据库路径后,最终几个人毫无所获。
“肉串姐,这网站还真不是一般的难对付,貌似没有任何漏洞,我们是不是直接D吧。”细眉男向肉串建言道。
“网站有绝对的安全吗?”肉串斜扫一眼细眉男。
细眉男无言以对。
是的,网站没有绝对的安全,而漏洞能不能被发掘,仅仅决定于95%的发掘者的能力的大小及加上5%的灵感。
“大家再尝试十分钟。”肉串见细眉男不再说话了,顿了顿,又看了看周围其它的伙伴吩咐道。
十分钟,很慢,很快,在不同的情景下,十分钟确实是有差异的,然而对于肉串他们来说,这十分钟是很快的。
转眼十分钟过去,计协的几个个人如焉了的茄子,垂头丧气,毫无所获,看来技术型入侵是不可行了。
肉串的结果也好不到哪去,好不容易找到一个XSS跨站漏洞,却没有任何利用价值。
“看来一时半会我们真是无能为力了,大家准备开始动用僵尸网络吧。小白,你先用你的十只肉鸡试试,一般的网站应该可以攻下的。