源于艺宵博客所在的主机商被攻击了,一个成立10多年郑州的一家IDC提供商,在业内名气很大的网络提供商就这么被干了,旗下所有客户包括他们自己的官网全部被干死了。搞他们的十之八九是同行,这几乎是网络圈子公开的秘密,看你不顺眼就打你,打的质疑人生。
没错,本文讲一些黑客知识,以及简单搞死网络公司的案例和方法。看反响,大家喜欢,我就细致写写。
难吗?
小学生都能搞懂的东西能有多难!
struts2漏洞,一个小学生都会用的漏洞,成千上万个网站被攻击,其中不乏被搞破产的。
这个漏洞,我最早在2012年接触的,见证过太多人一晚上几万~十几万的收入,当然,血洗之后部分公司的网站再也打不开了…
struts2是一个框架,很多话费充值、商城类网站都是在这个框架下做的,框架出漏洞了,这些话费充值、商城网站…无一能避免。
包括一些银行官网都被搞过哦,名字我就不说了,想想在银行网站搞个恶作剧,比如一张鬼脸或美女,这该有刺激,我胆小,没敢弄。
既然说小学生都会用,就得上图,不然没人信…
只要把网址复制到上面打码的框里,点击验证漏洞,如果存在就会提示,接着看上面有个文件上传的按钮,上传个网页木马就好了,网上随便就能下载到…
入侵一个网站60秒左右吧..
当然找这类用struts2做的网站就更简单了,直接搜索就行,关键字都是现成的
inurl:index.action 充值
inurl:商城.action
inurl:action?id=
没有NB的关键字,只有爱想的脑袋,这类用struts2框架做的网站,网址结尾都大多是“.action”
百度搜索”inurl:.action” 可以理解为,搜索网址里含有“.action”的页面。
就是这么精准,批量搜索,批量查询,批量入侵。
找到某便民充值平台后,可以登录服务器,就和操作自己电脑一样,想干嘛就干嘛,就和下图一样。
用户名和密码导出到自己电脑。
用这些用户名和密码登陆后台,给自己充值,也可以直接在Q群里交易,例如话费8折,在网上直接就卖疯了,一些店主会和黑客合作干这事。
Q币也是硬通货,直接把Q币全部充值在一个或几个Q上,然后出售带Q币的Q号,也是8折~8.5折,这个更省事。
总得来说,找对网站,一晚上轻松几万不是问题。
一些实力小点的公司,直接就破产了,一年也赚不了多钱,一晚上就没了。
被抓怎么办?
被抓的概率不足0.1%,建议提前多买些彩票,如果被抓了你肯定就中奖了。
“跳板”这个词很好理解,就是我远程遥控其他电脑远程登录被害网站,这样即使查到了,也是查到的你遥控的电脑。
通常是这样搞的,先买一个VPN,1个月30块钱,很简单就把自己IP换成韩国的,然后租个日本的VPS(可以理解为电脑主机,一个月50块钱),为了掩人耳目可以把租的日本主机装个英文版系统。
通过韩国IP连接日本的服务器,通过日本服务器操作被害网站,进行洗劫操作。即使查IP,也是日本的,去日本取证后发现是韩国IP…
哈哈,如果你数额巨大,可以多搞几个跳板….
我的水平仅仅是高中自己摸索了两年,无任何人指导,足见技术之差,上面这些我都能摸透,那些真正的大神就又会是怎样呢?
难吗?
我刚接触的时候,真的被小学生歧视过“你都高中了,怎么连这都不会… …”
远程控制难么
很简单、很简单、很简单
1:申请一个动态域名(免费).
2:很多论坛都可以下载到远控木马,早期的灰鸽子、冰河、GhOst,简单设置一下(免费).
3:物理接触受害者的电脑,安装木马并添加到杀软白名单,这样杀软以后就再也看不到这个木马了,这里的核心是”白名单“ 。
物理接触的意思就是,妹子找你装电脑,你手摸着她的电脑,给她装了个系统,附带着装了个木马。
如果要搞陌生人,那就不容易了,因为木马是会被杀软查杀的,但是会免杀的人,杀软也没辙。
DDOS,搞你没商量,不管你是谁,打的你妈都不认识你
一个运营6年的网络服务提供商,就这么被打了连续几天毫无招架之力,那么多客户无一幸免,艺宵博客就是受害者之一。
举个例子
一群流氓打算搞对门有竞争关系的商铺!
流氓们装作普通客户全部拥入对手的商铺,赖着不走,真正的购物者却无法进入。
然后和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户。
也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空。
最终跑了真正的大客户,损失惨重。
流氓人多,大伙一起干,铁杵磨成针。DDoS攻击就这个意思。
一个人控制大量电脑,然后同时涌入要攻击的IP,这样他就没办法接待正常访客了,对外显示就是网页打不开,就和我博客一样。
搞死别人网站太廉价了
前几天看到又有人抄袭我的内容,而且还不留版权,我这不入流的技术,30秒就把对方网站打趴下了,我电脑50M带宽,用的CC攻击。
对方用的美国主机,美国可以随便打,没事。
让你抄,让你不留版权,打死你。
这个我在纵横会群里秀了一下
总的来说,大家都挺善良的,也没啥大仇,所以十几分钟后这个网站就恢复了。
这件事告诉我一个道理,坏事有偷偷做。
当然,也是这个网站太弱了,所以才能一搞就死。
一般来说80%的网站都是一打就死。
好点的主机就直接雇人打,几百块就能打死。
打个10天,一个网站差不多客户就流失光了,对方换高防主机,你就加大火力。
有点类似城墙和大炮的关系,说白了就是一场资金消耗战,只不过战场在敌人领土,生灵涂炭也是对方的损失大。
现在知道搞垮一家网络公司有多简单了吧,有钱,一切 so easy
追查难度太大了…
APT攻击无物不破,专治各种不服
嗯,你确实有钱,防御好,势力大。
但如果有人1年、5年、10年的搞你,你怕不!
用个词形如就是 “不死不灭”
通常用于国家层面的网战。
DDOS更像是流氓,管你多厉害,我人多。
APT则是毒蛇,持续地收集你的一切信息,然后整理汇总并分析,从各种边沿业务着手,一步步的接近你。
例如你打算搞一家大网站,可是主站防御特别好。
于是你就查这家公司旗下其他的网站,并且搜集他们的员工邮箱。
运气不错,找到这家公司几十个员工的邮箱号,开始用公开的数据库查一下,看看曾经是否泄漏过密码(一半的概率能查到,这种查询方法叫做“社工库”)
如果没查到,就批量尝试弱密码,也就是国人常用的“123456”、“111111”、“123456”、“生日”这类弱到极致的密码,通常查到的概率也挺高的。
登录员工邮箱,查看有用的敏感信息,也可以通过员工邮箱钓鱼其他员工…
前面搜集了不少大企业的旗下其他网站,(软件直接开扫…)其中某个站恰好有漏洞,拿到权限后可以ARP嗅探,也就是同IP段,你有一定概率可以得到其他服务器的用户名和密码。
总得来说,这是一个细致的活,而且技术含量不高,全程软件就能搞定。
我不懂QQ这个软件是怎么编写的,但是我也会用QQ发消息
我不懂网站源码怎么写,但是我也会用源码做网站
高端的黑客技术我也不懂,但是我会用软件。
上次世纪佳缘把一个给他们提交漏洞的人抓了,这个网站够大吧,算是国内知名的大婚恋网站。
其实这个被抓的哥们只是用了一款软件,名字叫”sqlmap”
大黑客们居家旅行,杀人越货必备软件之一。
哦,软件是免费的。
网上搞人的方法太多了,稍稍用点心就能让目标应接不暇,声名狼藉,我不会讲太多细节东西,只做一个兴趣引导,这两天运气不好,就普及点坏事怎么做,关于防御我知道的不多。
一个只能隐藏在黑暗的角色
我高中只自学了2年就放弃了,很早前我就意识到,这是违法、且上不得台面,…
网易、腾讯、新浪、阿里、携程、天涯、CSDN….你所知道的大网站全部都被爆出过漏洞,而这个平台名字叫“乌云网”
但是它前几月已经关停了。
曾经最出名的查开房数据就是乌云爆出的…
乌云的存在引发信任危机,它曝光了太多本该不被民众知道东西。
职业打脸国内大型网络公司…
如果只是一个圈子内的小网站,倒也罢了。
只可惜它出名了,所以它的死期就到了。
哦,说个好玩的。
在支付漏洞爆发的那阵子,有个黑客在某支付平台(有牌照的)给自己充值了1000000000元,也就是10亿。
然后他把这个漏洞提交了。
但行好事,莫问前程。
有1万种方法可以搞一个人,那些徘徊于各大网站评论区的喷子们,你们小心哦,说不准哪天就会被人收拾的哦,例如打断狗腿。
以上讲到的思路,这类人被称为“脚本小子”,脚本小子(script kiddie)略带贬义的词,用来描述以“黑客”自居并沾沾自喜的初学者。脚本小子不像真正的黑客那样发现系统漏洞,他们通常使用别人开发的程序来恶作剧。通常的印象为一位没有专科经验的少年,破坏无辜网站企图使得他的朋友感到惊讶。因而称之为脚本小子。
所以我总会强调自己不入流,强调这是部分中小学生都会的东西,不是谦虚,是真的不难。
内容出处:,
声明:本网站所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。文章链接:http://www.yixao.com/tech/5791.html