重活之超级黑客-第94节
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
镜睦哟蠹铱纯凑飧鍪切≈镜恼荆簃xd。hkshow。asp,大家可以在这个站点的网址后面加上一个单引号然后再打开看看,页面就不能显示了,然后再输入and11,再看结果;然后再输入and12,再看结果。如果输入and11和and12页面返回的结果不一样,那么就说明站点有注入漏洞。注入漏洞的类型有好几种:包括字符型注入,搜索型注入。各种注入都是万变不离其宗,都是为了列举数据库的内容,拿数据库主要就是为了进后台传WEB木马。一般很多个人的私服网站都是存在大量的注入漏洞的!因为ASP代码都没有进行安全的过滤!)
佩斯一连输入了好几次的注入代码,这些代码都是佩斯独创的,可以说就是因为这些代码佩斯掌握了所有的ASP站点注入漏洞,但是这个网站虽然是aspx编写的,就在佩斯注入执行的时候突然反馈一条消息,“你们的手段能不能高明一点!!”,当然佩斯清楚这个注入漏洞被“上帝是笨蛋”修复了,但是看到这句话心里难免还是有一点愤怒,这也太看不起人了!!!
“佩斯,没用的,刚刚我试过了!这个网站没有任何可以注入的漏洞,你记不记得在我们第一次入侵之前还没有安全控件的,现在竟然加了银行专用的安全控件!”吉普赛无奈地说道。
梅卡听到了吉普赛的话以后,马上就进入了网站,果然看到了登陆界面启用了登陆银行时候必须下载的安全AX控件!“银行的浏览器安全控件!?”梅卡嘴里念道,随后他立刻打开了那个嗅探工具,直接下载了沪市登陆的安全控件,从下载到安装,梅卡一直都在截取数据,梅卡随便注册了一个账号,虽然提示禁止注册,但是梅卡绕过了这个限制,还是注册成功了,梅卡使用那个账号进行登陆,果然就发现了这个安全控件发挥的作用,梅卡点击了登陆以后,账号和密码信息通过对关键数据进行SS加密,梅卡这个时候立刻使用另外一个工具把浏览器访问的线程暂停,暂停了浏览器的这个访问线程以后,发送到服务器那边的加密SS数据也就随之停止了,梅卡立刻打开了嗅探工具,看看截取到了什么,但是结果让他大吃一惊,因为他看到截取的数据都是乱码文字。
“该死的,这太难搞了!”艾弗森站在梅卡身后看着梅卡的操作不由骂道。
黄非看着一条条注入和截取的数据,嘴里露出了淡淡地笑容,这些在他的眼里根本不算什么,因为他在这个沪市股票网站发现的漏洞数量达到了上百处,而高危的就是注入和猜解,虽然这个网站在其他黑客的眼里根本就是不可能入侵的,但这些只是他们的手法不高明而已,如果黄非没有去修补网页代码的安全过滤文件,刚刚佩斯使用的那行注入代码是绝对可以把管理员的账号密码爆出来了!
黄非现在并没有把全部的漏洞都修复,这样的话就不好玩了,要给对方一个可以入侵的机会!因为他等一下就会对X组织进行反击。
“好强!真的好强大。”李华看着沪市服务器监视机房传过来的监控异常流量数据,嘴里发出了感叹,因为上面显示在短短地10分钟内,沪市股票网站被尝试注入上百次,而现在网站的数据依旧正常,而网站也可以正常访问,要知道入侵的可是X组织,那个自诩强大的M国黑客组织!红客联盟和X组织的差距就好比一个Windows 98系统和Windows XP系统,差距不是一两点,沪市股票网站即使没有修复漏洞,红客联盟也绝对没有把握拿下Webshell。再看看之前X组织才花了几分钟就夺走了整个网站的数据库,就可以看出来了。
“网站可以注册,难道‘上帝’故意放我们注册的?”佩斯说道。
梅卡苦笑了笑,“或许是吧,但是我们也不会认输的,竟然他看不起我们,我们就证明给他看吧,难道这个网站的防守会比雷森博士的雷森系统搭建的网站难?”梅卡说道。
“注册会员发表建议栏,有上传图片的功能,这个我试试能不能利用。”佩斯一次不成便马上想出了第二种入侵方法,在他的眼里,方法都是人发现的,重要的就是创新而已,一成不变的技术是不可能获得成功的。
“吉普赛,借你的小马用一下!发过来。”一直没有对吉普赛说过半句话的佩斯这个时候终于问了一句,后者愣了一下,随后笑道:“没问题,我这就传给你!”因为吉普赛是专业的“木马编写机”,他改动的网页木马可以小到几十字节,就可以跟那些网页大马相提并论了,而且还过一切的杀毒软件!
“谢谢!”佩斯说了一句,吉普赛高兴地嗯了一声,在这个紧急的关头配合才是最重要的,因为他们这次的对手无比的强大,简直就是电脑超级天才。
佩斯接收了吉普赛传过来的木马以后,立刻点开了网页的意见留言栏,因为他要把这个小马上传进服务器就需要绕过检测,所以他执行了乱码留言。
当屏幕上出现“留言成功”的中英文字样的时候,佩斯心里开始有些紧张了,下面他继续在浏览器栏输入了夹带上传的小马的访问路径,但是回复给他的却是404的访问失败页面,佩斯的小马竟然被杀掉了。
被杀掉那是肯定的,因为黄非早就在服务器里面安装了“非琪杀毒软件”,要知道杀毒小狗是无处不在的!在文件被修改的一瞬间,“非琪杀毒软件”就立刻对这个文件进行了扫描,一个小小的木马怎么可能逃过它的监视,即使你多小,但还是被列入了黑名单。。
“该死的!”佩斯也不由骂了出口。
从他的表情可以看出这一次试图利用上传漏洞也失败了。。
此时艾弗森额头上已经出现了冷汗了,因为如果不赶快的话,上面责怪下来他们组织的投资资金就会一下子全部丢失。要知道那可是15个亿的美金,足够买下几栋纽约市的大楼了。
“没关系,我们既然不能从网站下手,那么就开始从服务器上下手吧!现在检测一下服务器的漏洞!”梅卡淡定地说着,停了一下,然后继续对着一名X组织的成员问道:“我们手里还掌握着几个Windows系统的通用漏洞??”
“8个2通用漏洞,46个可利用漏洞!”那名成员答道。。
、第二百五十章龙在怒吼,致命一击
正文【黑客帝国】第二百五十章 龙在怒吼,致命一击
华夏时间凌晨1点,《成长》在今天开放的10万个账号注册名额依旧被抢注一空,此时的在线人数依旧达到30几万人,因为很多人都要去上班,如果玩到这么晚的话上班就会迟到,在《成长》里面的时间也会随之减少,还有一个原因就是《成长》规定一天的游戏时间只有三个小时。
如果没有获得现实中的奖励,就不能继续游戏,所以现在的人都养成了一个习惯,白天的时候就拼命工作,吃完了晚饭就开始游戏,直到一天的游戏时间用完,现在除了黄非在游戏中的激战值达到了300多点,第二名还只是158点,这就是距离,所以黄非这个游戏角色也逐渐被大家所熟知,当然也得到了很多女玩家的崇拜,如果黄非现在上线,肯定可以看到很多好友请求。
但是这一夜注定是忙碌的,在华夏互联网在之前遭到了智能病毒狂潮以后,虽然已经得到了相对的阻止,现在另外一个问题又在这个表面平静的网络暴露了出来了问题,沪市的网站在华夏网民眼中是一切正常的,他们上到里面查询资料和发表心得还是正常,在这个正常的背后却是有着一场强与硬的对决。
M国洛杉矶X组织总部。
“不行了,前面的6个通用漏洞已经全部都被修复了!”吉普赛说道。
“我来吧,我来利用这个SA提权。”梅卡插话道,但是这句话却得到了全部人的认同。
“这台服务器是采用SQ数据库管理的,我相信这里我可以尝试使用SA账号提权。”梅卡说完以后立刻打开了一个SQ分析工具。
SQ的SA帐号就是系统管理员帐号,如果黑客运用到站点 的注入漏洞就很容易获取系统的最高权限,一旦黑客获取了最高权限,完全可以用NBSI等注入工具来建立系统帐号,并且运用 3389端口远程登录进去,这一块的技能就是SA注入攻击形式。
前几年国内外网络游戏被黑客入侵大部分都是黑客运用 SA注入漏洞的技能手段来入侵的。
“没办法,服务器禁止了SA权限这个账号的建立。肯定是‘上帝’做了手脚。”梅卡无奈地摊了摊手。沉思了一会儿,梅卡继续说道:“我再试DBOWNER和PUBIC提权,看看能不能!” (SQ权限的高低顺序依次是SA, DBOWNER,PUBIC。 DBOWNER这一块的黑客入侵主要一种形式是差异化备份技能,这是黑客运用数据库的备份功能,把一些一句话木马通过数据库备份到一个指定的目录里面,然后通过CS木马上传WEB木马,然后用WEB木马来提权,获取系统权限,最后这个PUBIC也有可能会被黑客运用,黑客运用这种权限只能列举数据库,所以这种形式黑客会列举出后台帐号和密码,然后运用后台上传WEB木马达到提权的目的。小志可是从书上看到的哦,虽然也曾经试过,不过那是在初三的时候了!)
过了一会儿,梅卡擦了擦额头上的汗,“该死。第7个漏洞SQ提权失败了!太严密了,几个通杀的漏洞竟然对这个服务器无效!”梅卡不由发出了感叹。
佩斯摇了摇头,“如果我们继续这样下去,肯定是得不到服务器的权限的,毕竟在服务器里面的是‘上帝’,他的技术大家都清楚,想要从他的手里得到权限,就要使用另类的方法,我们这些常用的入侵手法肯定也被他知道了,要找出抵御的方法肯定很简单的!!”
大家都对佩斯的这个说法感到了赞同,因为事实确实如此。
“第8个漏洞让我来吧!我变通一下入侵。”佩斯说道。
“没问题,我们一起配合你。”梅卡应道,其他人也相继说明了自己的意见。
黄非看着一个个的反馈数据,果然正如他所料,他们肯定会利用Windows服务器系统的几个通用漏洞来入侵,但是他们能发现的漏洞黄非怎么可能不知道呢,黄非能找到的通用漏洞可以达到20多个,8个对他来说不足为患,但是接下来当他看到对方竟然使用了绕过的方法来提权,小小地惊讶了一下。
只见佩斯打开了一个叫做SD的工具,这个工具可以分析和扫描出对方服务器的所有开放服务端口和连接线路与来访路径,在经过了3分钟的扫描以后,佩斯只看到了服务器只有一个可利用的端口,那就是80端口。
80端口是为HTTP(HyperText Transport Protocol)即超文本传输协议开放的,这是上网冲浪使用最多的协议,主要用于。cn:80,因为浏览网页服务默认的端口号都是80,所以只要输入网址即可,不用输入“:80”了。【摘自百科】而这个端口也足够让佩斯进行修改利用了。
佩斯首先正常访问了沪市股票的网站,也在域名的后面的加上了:80这个,可以访问以后,佩斯立刻打开了自己编写的一个端口工具,输入了服务器的IP以后,然后软件不断地接受从80端口截取的封包,因为是开放式服务,所以很多服务器的信息都一览无遗地暴露了。
而佩斯要收集的不是怎么入侵这台服务器,而是夺取管理员的账号,因为他那个软件发送的是正常的流量,服务器不会拒绝,然后他可以监视着80端口,只要会员一登陆马上就可以截取会员的账号密码,虽然密码使用的是MD5加密的,但是X组织拥有世界上最大的彩虹表,破解密码MD5是最简单的!(彩虹表就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合,不一定是针对MD5算法的,各种算法的都有,有了它可以快速的破解各类密码。越是复杂的密码,需要的彩虹表就越大,现在主流的彩虹表都是100G以上。主流的MD5破解网站是。d5。,需要破解MD5密码的可以找小志,小志有会员账号的哦!)
但是5分钟过后,佩斯看着传过来的流量一点点都没有变化,心微微有一点急躁。而现在在另外一边,黄非正在快速地输入着代码,一个跨世纪的攻击工具即将诞生。
又过了5分钟,“老大,失败了!第8个漏洞使用失败了,没有办法了,该死的‘上帝’太强大了!”吉普赛看了看佩斯的屏幕说道。
艾弗森脸色很阴沉,现在对抗已经将近两个小时了,X组织竟然没有一点进展,连连吃瘪,这让一向自负的艾弗森有点接受不了,“事到如今,我们只有用流量去攻击了,那样的服务器要拿下来起码需要50TB的流量!我们控制的肉鸡数量也就这么多了,我倒要看看这个‘上帝’怎么抵挡这最简单的手段!!”艾弗森大笑。
“老大,真的要用DD