道怎麼辦了,最終由綠色兵團成功運用了這個漏洞,將中國國旗插上了日本政府網站。
而事後,中國駭客這一方也曾試圖聯絡帥鍋,曾在該貼後面回覆以圖取得聯絡,但帥鍋卻再也沒有出現過。
“不管這些了,開始行動吧。”肉串看看時間已經九點鐘了,向周圍同伴掃視一眼;而後說道:“可以開始了,大家共同行動,先挖掘WEB漏洞嘗試純技術滲透入侵。”
(求推薦,求收藏,求點選,求評論,偶系寫手新人,各位大人多多支援。)
第十一章 駭客間的較量
在看到肉串他們忙活起來後,張朝磊知道,戰鬥就要打響了,想來楊經理這會也不會懈怠,暫時張朝磊也就不管自己的網站了,即使自己網站上有技術性漏洞,那也不是一時半會能找到的,張朝磊在過去曾經多次對自己網站做過安全上的防護工作,張朝磊相信,即使有漏洞,那也不是對方一時半會能攻下的。
對方都忙起來了,自己當然不能閒著,張朝磊在流覽器中輸入了志華愛國者駭客聯盟的網址,志華愛國者駭客聯盟做為志華大學計算機協會組建的駭客組織,當然會擁有自己的網站,雖然說計算機協會人人是小白,但這種說法畢竟有些誇張,高手還是有的,比如肉串。
志華愛國者駭客聯盟的網站張朝磊不是頭一次訪問,就在上午肉串在計算機協會的會議上公佈了他們的網址後,張朝磊當時就默默記下了對方的網址,並在剛才來到網咖後,閒著無聊,已經訪問了一次了。
此時開啟這個網站,肉串它們竟然已經在網站上釋出了一條公告:今天晚上,本聯盟將向西盟駭客網發起攻擊。。。。。然後就是一連串大道理,比如做人要低調,做駭客更要低調。要少說話多辦事之類的。看著這些,張朝磊就納悶了,看你們攻擊起我們網站來也沒看到你們有低調的成分在裡頭。挺高調的嘛,難道對方也想借此炒做,嗯,對,有可能,最近西盟風頭正火,各大媒體到處炒作,看來連志華駭客聯盟也眼紅了。也想來討一份好處。如果他們此次攻擊下西盟,是不是就會讓媒體產生:志華駭客聯盟比西盟駭客網更加具有實力的想法呢。
這種陰謀當然不能讓它得逞,想到這裡,張朝磊迅速翻看著志華駭客聯盟的網站,一個一個連結的開啟,黑盒測試,也稱盲測,首先是最簡單的SQL隱碼攻擊測試,在可疑的動態連結上進行SQL試注入。
SQL隱碼攻擊在此後的06年由於明小子寫的Domain旁註工具及阿D的SQL隱碼攻擊工具而正式走入了偽駭客的眼前,使眾多不會任何技術的菜鳥級小黑也可以進行網站入侵了,然而在2000年的時候,注入還都是手動進行,猜解一個密碼是相當複雜的,不過在2000年左右的時候,人們的安全意識普遍較低,密碼在資料庫中也一般是明文顯示的,也就是沒有經過任何加密的直接存放在資料庫中的,這不像在隨後的幾年中,逐漸興起的MD5加密存放密碼一樣,否則即使靠資料庫猜解到密碼能不能解開MD5加密也是很難說的,張朝磊是知道的,即使在2000年後的幾年中有人在網上免費釋出了開源源程式:西盟MD5加密與解密程式,使MD5破解成為了現實,不過這種方式也是透過龐大的數庫中操作完成的,在解密系統的資料庫中預先存放大量原文與加密文的資料,在破解時進行對比,對比成功加密文後,再查詢得到原文,由於沒有演算法支援,MD5破解直到張朝磊重生前仍然是世界性難題。
不過看起來志華駭客聯盟的安全係數還是挺高的,在張朝磊一番測試後,竟沒有發現志華的網站存在注入點。
注入不成,找上傳漏洞。
上傳漏洞,又是一個各個網站常見的漏洞之一,直到2010年,張朝磊也知道,上傳漏洞仍然大量存在於各種中小型網站中,上傳漏洞一般是指網站由於對上傳檔案格式等過濾不嚴造成的,例如,對於各種網站可能存在著普通使用者可以進行附件上傳的功能,一般情況下,上傳只要能夠上傳圖片格式(jpg/gif/bmp)及壓縮包檔案(rar/zip)就行了,然而,如果這個網站對於上傳格式沒有限制的話,任何型別的檔案都可以上傳的話,這個時候,漏洞就產生了。例如對方的網站是基於ASP技術開發的,這時駭客只要想辦法上傳到其網站一個具有特殊功能的ASP檔案即可實現控制全站的許可權,這種ASP檔案,在駭客界被稱為後門(WebShell),基本功能上的差異又有大馬與小馬之分。
張朝磊嘗試著,註冊使用者,然後進入志華駭客聯盟的文