正文黑客帝國第二百四十九章技術攻防——
「梅卡,需要幫忙麼?」艾弗森見梅卡第一次對抗失敗以後朝著他問道-
「梅卡,一起吧!不要一個人去對抗那個變態,我們一起配合吧!!」一名X組織的成員這個時候站了起來激昂地說道-
梅卡此時心里已經開始有一點小小地感動了,隨後他看了看佩斯,後者一樣在看著他,兩個對視了一眼,然後笑了笑,「開始吧大家,一起把華夏的‘上帝’打敗!!」梅卡喊道-
隨後,X組織在梅卡的帶領下,再次朝著那台主要的服務器發動進攻,這是一次強者間的對抗,誰都無法避免,他們也都無法猜測誰會勝利-
「佩斯,你測試一下有沒有跨站漏洞,按理說現在所有的網站都有跨站漏洞的!!」梅卡朝著佩斯說道-
佩斯點了點頭,「我試試!」佩斯也是很高興,梅卡之所以把這個測試交給佩斯,是因為佩斯是一個檢測網站漏洞的能手,他編寫的一款旁注工具可是歐美黑客必備工具!(華夏最常用的網站旁注檢測工具有兩個,明小子domain和阿d,但是這兩個工具的作者都不再更新了!工具百度一搜就可以找到,但是大多數都被加了殼,有盜號木馬!用Peid這個軟件就可以查出殼,建議大家都下載Peid進行安裝,安裝以後軟件會在右鍵加入Peid鍵值,如果以後想打開一些不明軟件就可以用Peid查一下殼!)-
佩斯首先就是利用兩重跳板突破了華夏禁止訪問的限制,進入了滬市股票站點,佩斯執行站點入侵的第一種手法,就是注入攻擊,這是一種很多站點普遍遇到的安全疑問,很多網絡程序員在編寫站點程序的時候,都沒有留心到對uRL訪問數據庫作出限定,主要是編寫動態操作數據庫的PHPJsp(SuN企業級使用的首選)等語言。(那小志舉一個基本的例子大家看看這個是小志的站︰,大家可以在這個站點的網址後面加上一個單引號然後再打開看看,頁面就不能顯示了,然後再輸入and1=1,再看結果;然後再輸入and1=2,再看結果。如果輸入and1=1和and1=2頁面返回的結果不一樣,那麼就說明站點有注入漏洞。注入漏洞的類型有好幾種︰包括字符型注入,搜索型注入。各種注入都是萬變不離其宗,都是為了列舉數據庫的內容,拿數據庫主要就是為了進後台傳WEB木馬。一般很多個人的私服網站都是存在大量的注入漏洞的!因為ASP代碼都沒有進行安全的過濾!)-
佩斯一連輸入了好幾次的注入代碼,這些代碼都是佩斯獨創的,可以說就是因為這些代碼佩斯掌握了所有的ASP站點注入漏洞,但是這個網站雖然是aspx編寫的,就在佩斯注入執行的時候突然反饋一條消息,「你們的手段能不能高明一點!!」,當然佩斯清楚這個注入漏洞被「上帝是笨蛋」修復了,但是看到這句話心里難免還是有一點憤怒,這也太看不起人了!!!-
「佩斯,沒用的,剛剛我試過了!這個網站沒有任何可以注入的漏洞,你記不記得在我們第一次入侵之前還沒有安全控件的,現在竟然加了銀行專用的安全控件!」吉普賽無奈地說道-
梅卡听到了吉普賽的話以後,馬上就進入了網站,果然看到了登陸界面啟用了登陸銀行時候必須下載的安全AX控件!「銀行的瀏覽器安全控件!?」梅卡嘴里念道,隨後他立刻打開了那個嗅探工具,直接下載了滬市登陸的安全控件,從下載到安裝,梅卡一直都在截取數據,梅卡隨便注冊了一個賬號,雖然提示禁止注冊,但是梅卡繞過了這個限制,還是注冊成功了,梅卡使用那個賬號進行登陸,果然就發現了這個安全控件發揮的作用,梅卡點擊了登陸以後,賬號和密碼信息通過對關鍵數據進行SSL加密,梅卡這個時候立刻使用另外一個工具把瀏覽器訪問的線程暫停,暫停了瀏覽器的這個訪問線程以後,發送到服務器那邊的加密SSL數據也就隨之停止了,梅卡立刻打開了嗅探工具,看看截取到了什麼,但是結果讓他大吃一驚,因為他看到截取的數據都是亂碼文字-
「該死的,這太難搞了!」艾弗森站在梅卡身後看著梅卡的操作不由罵道-
黃非看著一條條注入和截取的數據,嘴里露出了淡淡地笑容,這些在他的眼里根本不算什麼,因為他在這個滬市股票網站發現的漏洞數量達到了上百處,而高危的就是注入和猜解,雖然這個網站在其他黑客的眼里根本就是不可能入侵的,但這些只是他們的手法不高明而已,如果黃非沒有去修補網頁代碼的安全過濾文件,剛剛佩斯使用的那行注入代碼是絕對可以把管理員的賬號密碼爆出來了!-
黃非現在並沒有把全部的漏洞都修復,這樣的話就不好玩了,要給對方一個可以入侵的機會!因為他等一下就會對X組織進行反擊-
「好強!真的好強大。」李華看著滬市服務器監視機房傳過來的監控異常流量數據,嘴里發出了感嘆,因為上面顯示在短短地10分鐘內,滬市股票網站被嘗試注入上百次,而現在網站的數據依舊正常,而網站也可以正常訪問,要知道入侵的可是X組織,那個自詡強大的M國黑客組織!紅客聯盟和X組織的差距就好比一個Windows98系統和WindowsXP系統,差距不是一兩點,滬市股票網站即使沒有修復漏洞,紅客聯盟也絕對沒有把握拿下Webshell。再看看之前X組織才花了幾分鐘就奪走了整個網站的數據庫,就可以看出來了-
「網站可以注冊,難道‘上帝’故意放我們注冊的?」佩斯說道-
梅卡苦笑了笑,「或許是吧,但是我們也不會認輸的,竟然他看不起我們,我們就證明給他看吧,難道這個網站的防守會比雷森博士的雷森系統搭建的網站難?」梅卡說道-
「注冊會員發表建議欄,有上傳圖片的功能,這個我試試能不能利用。」佩斯一次不成便馬上想出了第二種入侵方法,在他的眼里,方法都是人發現的,重要的就是創新而已,一成不變的技術是不可能獲得成功的-
「吉普賽,借你的小馬用一下!發過來。」一直沒有對吉普賽說過半句話的佩斯這個時候終于問了一句,後者愣了一下,隨後笑道︰「沒問題,我這就傳給你!」因為吉普賽是專業的「木馬編寫機」,他改動的網頁木馬可以小到幾十字節,就可以跟那些網頁大馬相提並論了,而且還過一切的殺毒軟件!-
「謝謝!」佩斯說了一句,吉普賽高興地嗯了一聲,在這個緊急的關頭配合才是最重要的,因為他們這次的對手無比的強大,簡直就是電腦超級天才-
佩斯接收了吉普賽傳過來的木馬以後,立刻點開了網頁的意見留言欄,因為他要把這個小馬上傳進服務器就需要繞過檢測,所以他執行了亂碼留言-
當屏幕上出現「留言成功」的中英文字樣的時候,佩斯心里開始有些緊張了,下面他繼續在瀏覽器欄輸入了夾帶上傳的小馬的訪問路徑,但是回復給他的卻是404的訪問失敗頁面,佩斯的小馬竟然被殺掉了-
被殺掉那是肯定的,因為黃非早就在服務器里面安裝了「非琪殺毒軟件」,要知道殺毒小狗是無處不在的!在文件被修改的一瞬間,「非琪殺毒軟件」就立刻對這個文件進行了掃描,一個小小的木馬怎麼可能逃過它的監視,即使你多小,但還是被列入了黑名單-
「該死的!」佩斯也不由罵了出口-
從他的表情可以看出這一次試圖利用上傳漏洞也失敗了。
此時艾弗森額頭上已經出現了冷汗了,因為如果不趕快的話,上面責怪下來他們組織的投資資金就會一下子全部丟失。要知道那可是15個億的美金,足夠買下幾棟紐約市的大樓了-
「沒關系,我們既然不能從網站下手,那麼就開始從服務器上下手吧!現在檢測一下服務器的漏洞!」梅卡淡定地說著,停了一下,然後繼續對著一名X組織的成員問道︰「我們手里還掌握著幾個Windows系統的通用漏洞??」-
「8個2通用漏洞,46個可利用漏洞!」那名成員答道-