无错小说网 - 都市小说 - 究极电脑在线阅读 - 第十三章论坛攻防战

第十三章论坛攻防战

    想不通就留着慢慢想总有一天能想通,这也是秦木以前学习时,遇到难题时候经常的一种做法。罗马不是一天建成的,即使就差一线之隔,有时候干耗着反而更容易陷入死角里。其实秦木也不是没有想过‘问问’电脑,可是现在却并不想这么做。他并不想总靠电脑,自己不知道的东西还可以考虑问下,自己已经入门就不信这个邪弄不明白!

    究其原因其实还是经过一番折腾之后,现在对电脑了解更加深入的秦木,此时已经对自己这台看似不怎么样的家伙不再烦恼了,对于电脑的能力不再怀疑,也不太担心抱着错误的路线走到黑。

    冷静下来的秦木先不管那内存和磁盘即将饱和的事情,先去看看文档里记录的黑客入侵记录再说。

    打开文档之后秦木仔细的看了文档里面记录入侵本台电脑的每一步骤,不懂得词汇现在到也是方便直接‘百度’搜索到。认真看了看也是知道的差不多,以秦木的现在基本知识的储备和他触类旁通的能力现在能做到这点倒是一点也不难。

    “呼!”看完文档之后秦木长长的叹口了气,暗道:看来计算机这东西果然不是那么好学的,这个行业不仅仅是从表面看起来那么笼统仅是分为软硬领域之分。那聂疯子的论文看来还真是不是一般的变态。

    忙活到现在秦木看了看时间才十点多钟,准备休息一下去网上逛一逛。那文档自己都看的烂熟于胸也没有在留着了,于是再次把磁盘格式化。

    重启计算机之后,秦木点开了第一次上的那个首页默认论坛地址,这一段时间秦木也是经常上这个论坛逛,也是知道这个论坛就是所谓的黑客论坛,不过秦木去的时候只是随便看看热闹而已并没有上心,只是作为弄硬盘累的时候一种休闲方式而已。但今天明显的有些不寻常,秦木方一打开论坛论坛最上方好大一串红色通告映入眼帘:

    敬告广大论坛新手小白们,请于华清时间中午2010年-9月-23日11点钟准时退出论坛!期间的技术之战也许会给新人们带来的不便,敬请谅解!本‘究极电脑’论坛将于11点钟接受‘究极系统’论坛全体高手挑战,至此论坛管理员‘呆儿哈特’向看到通告的高手们发出征战令!!

    ————发表时间2010年-9月-22日

    两个黑客论坛要掐起来了?嘿嘿,有好戏看了!看到了这则通告秦木不怀好意的*笑道,秦木并没有退出论坛继续在里面浏览帖子看看这些人。距离十一点钟还有几十分钟,秦木准备看看这两个论坛之间到底是怎么对打的。

    转眼间就到了十一点钟,这期间秦木倒是看到层出不穷花式各样的帖子,诸如:

    ‘究极系统’论坛漏洞百出、简直像个筛子一样!漏洞如下……发表人破膜法师。

    ——这是典型技术流的坛友

    ‘究极系统’那破论坛竟然敢向我们挑战?没搞错吧?难道不知道我‘低头撕裤裆’大神在此?各位到了十一点咱们这论坛的高手、低手们都不用出手看我一个人怎么收拾他们

    ——这是明显的吹牛13外加欠揍流的坛友……

    十一点了,秦木看了一下表!而此时论坛里很少就再有人刷帖了,似乎都是静静的等待暴风雨来临……

    秦木也在等,看完文档中的内容之后秦木也是至少知道了一个攻击方法,但是并没有出手……

    刷新了一下网站,秦木发现网站的速度明显的变慢了,等待了一两分钟网站首页才出现。秦木仔细看了看网站上有没有什么变化,咋一看上去倒是没什么变化,新帖子倒是多了不少。秦木点开了人气最高的一个帖子:两分钟之内我站与‘究极系统’之间的战况!

    “短短的两分钟之内便可见水平高低!在这两分钟之内我站已经成功的篡改了‘究极系统’首页内容多次,而高级权限也不断在敌我之间转换!他们仅仅获得了我站一个小小的首页背景颜色修改权限,放他去一个颜色能奈我如何!!”

    看完了这贴子之后秦木不断的刷新网站,果然网站的首页颜色在每一次刷新之后都在变化着,一会红一会黑的……

    虽然这仅仅是个小小的变化,但是秦木看了却也激动不已!没有硝烟的战争!也许此刻全国各地正由无数双手正在家里抑或是哪里,仅仅敲打键盘就能改变千里之外的战况!

    秦木的手有些抖!按照刚才记忆里的东西开始PING网站的IP,虽然那文本里是记录的黑客攻击个人电脑和网站有所区别,但是在秦木看来其实是异曲同工的。网站的载体无非就是服务器了,而服务器无非就是配置更加高的个人电脑罢了!

    入侵网站,首先是要找这个WEB漏洞!秦木仅仅看了那一点东西可不知道这点,不过还好领悟能力强,两个月里计算机语言学的属最好的了。按照那个文档里内容看来,原理还不是很清楚但是流程还是蛮熟练的。

    一般系统为开头——中间——结尾模式。开头一般是输出HTML中之间内容,对找漏洞没有影响。

    一般文件开头都会包含很多头文件,令人看了感到头晕,其实头文件都没什么用。主要是数据库连接文件,全局配置文件,和函数库。可以不理会这些东西,再找漏洞时用到了回头再看也不迟。

    但是函数库里面关于输入串过滤的函数要重点看一下。

    结尾是输出系统版权信息,有的用到SQL查询,SQL注入?就是数据库注入,这个秦木看书的时候倒是经常看到,虽然目前还不知道怎么去注入,但是数据库语言秦木很清楚,在文档中记录中看到的各种扫描嗅探工具的秦木,在开始前就已经下载了一大堆,此时正好有用处。在用到工具查看数据流的同时,秦木开始注意关于每一个数据库语句的数据流。

    很快秦木发现了一个貌似可cao作的注入点,这个点说起来很容易理解,就是‘or’,‘1=1’这些漏洞数据库语句中看似很正常的,但是如果你仔细想想的话就会发现大有歧义,也是正可以利用的一点!假如对方一个动态界面数据库写入的时候要求是这个样子的:注册会员or选择游客登陆,但是1=1时候默认为游客登陆。可是你在这里添加进去一些语句会不会原有的意思就会大变呢?显然这是可行的,秦木是这么做的:因为‘究极系统’论坛是一个动态论坛属于动网范畴,既然是动网那么密码是必须有个插件的,而在这个插件上面秦木就发现了一个注入式漏洞,秦木在‘究极论坛’看到几个管理员级别的头像,毫无疑问这些高级账号。而这些账号的ID并没有隐藏,似乎是为了证明自己技术高超,在登陆界面试着输入这些账号,然后乱打了一些密码,结果显然是进不去的。好了!到了这,按照文本文档中某些地方的思路秦木把这动态插件的漏洞数据库注入是这么写的,先是写了一些正常的数据库语句,不过最后利用那个‘or’和‘1=1’注入点把会员登录与游客登陆‘or’连接起来,然后呢用‘1=1’拼接完毕!这样web程序读出的结果就显然了,会员账号输入进去的时候登陆与游客是一样的,会员登录需要密码,而游客则不需要!所以秦木最后顺利登入了那几个高级账号!!说来也侥幸,秦木这样发现这个漏洞也是实属侥幸,因为这个论坛今天刚刚更新了许多更有利于运行速度的免费插件,还未来的及检查漏洞!说起来也是那方的工作人员的疏忽以为更新的就没有太多的漏洞,但是却疏忽了‘免费’俩字,毕竟天下没有免费的午餐!

    而此刻我们的猪脚秦木,看到自己竟然奇迹般的能够登陆到对方高级管理员的账号,当时兴奋心快要跳出嗓子眼了!

    既然是两方之间的战斗吗,那么自己就不需要考虑太多了!对敌人的仁慈就是对自己的残忍,毕竟自己也是属于这个‘究极电脑’论坛的吗!平息了一些激动的秦木不怀好意的一笑,进入了那几个管理员的账户里乱七八糟的改了一番,然后截图为证!最后嘛,发帖放到了‘究极电脑’论坛里,立即的引起了轩然大波!

    秦木其实是没有什么恶意的,到了那几个账户里一番恶搞只是为了做出己方论坛到此一游的意思,略胜一筹的意思。但是秦木万万没有想到,他这个歪打正着外加恶搞从此有就遭到了那论坛的高手们围追堵截……

    那截图其实是这个样子,其中一个叫‘风萧萧易水寒’的管理员个人信息介绍里个性签名被秦木改写后是这样的:俺是秋凤的爹,秋凤考大学,考了250,多亏喝了状元补脑洗髓口服液!