我們生活在互聯(lián)網(wǎng)時代,重視個人信息及網(wǎng)站數(shù)據(jù)安全尤為重要,但又有多少互聯(lián)網(wǎng)從業(yè)者真正做到了保護數(shù)據(jù)及隱私的安全呢。開通網(wǎng)站安全版塊為站長們分享網(wǎng)站安全與黑客入侵網(wǎng)站的相關(guān)案例,目的提醒站長們注重自己的網(wǎng)站帳號數(shù)據(jù)和資料安全,盡可能的把網(wǎng)站被黑的風險降到最低。

一,勝率

初戀結(jié)婚的概率為1%,所謂天長地久,不過是一廂情愿。

初次創(chuàng)業(yè)的成功率在5%左右,所謂雄心壯志,只是廉價炮灰。

賭場的勝率只需多占1%,那些聰明智慧運氣爆發(fā)的賭客,終究只能是輸家。

勇氣、拼搏、努力、挑戰(zhàn)自己、大無畏精神… 這些溢美之詞,終將成為凡人的噩夢,任他天賦異稟,才華絕倫,也免不了一世悲劇。

想要成為最終的贏家,其實也簡單。

永遠站在勝率較高的一方!絕不孤注一擲!挑軟柿子捏!

積跬步必至千里,積小流終成江海,攜大道之力,可破萬物。

世界上什么東西也替代不了持之以恒,才華不能夠,因為不成功的才子到處都是;天賦也不能夠,因為這個世界上到處是受過良好教育的乞丐。惟有正確的方法和持之以恒才是萬能的。

萬法相通,哥哥已經(jīng)多年沒接觸黑客技術(shù),但入侵網(wǎng)站的效率反而更勝從前。

二,批量入侵網(wǎng)站

無論多么嚴密的系統(tǒng)和安全措施,終究是人在操控,人才是漏洞的根源。

無需任何技術(shù),小學以上文化水平,智力不低于人類平均水平,就能實施黑客攻擊。

* 弱口令批量入侵

做網(wǎng)站時,先要將網(wǎng)站源碼上傳到服務(wù)器。

FTP就是上傳源碼到服務(wù)器的軟件,因此只要獲得網(wǎng)站的FTP密碼,這個網(wǎng)站的所有數(shù)據(jù)就唾手可得。

總會有一些網(wǎng)站的密碼非常簡單,如上圖某網(wǎng)站的密碼是123456;

通過搜索引擎采集大量網(wǎng)址,然后用軟件自動掃描,成千上萬個網(wǎng)站中,總會有那么幾個網(wǎng)站的密碼很簡單。

根據(jù)哥哥的測試,此方法有0.03%的成功率,1萬個網(wǎng)站中有3個是弱密碼。

黑產(chǎn)可以倒賣這些網(wǎng)站的數(shù)據(jù)獲利,也可以用這些網(wǎng)站發(fā)廣告賺錢,尤其是博彩行業(yè)最喜歡這么干,收獲頗豐。

* 漏洞批量入侵法

哥哥隨手搞了下,輕松拿下幾百個網(wǎng)站的權(quán)限,這其中包括大型集團、商城、政府、銀行…

“struts 2”是個網(wǎng)站應(yīng)用框架,程序員在struts2框架的基礎(chǔ)上能方便快捷的開發(fā)出各種網(wǎng)站。但這個框架在2014年~2018年期間,出現(xiàn)8個漏洞,無數(shù)大型網(wǎng)站淪陷,堪稱黑產(chǎn)圈的狂歡節(jié)。

雖然是老漏洞了,但必定還有很多網(wǎng)站比較幸運,沒有被入侵,就拿這些幸運兒開刀吧。

使用“struts 2”框架做的網(wǎng)站,網(wǎng)址通常會包含一個單詞“action”。

用百度高級指令搜索,inurl:action,意思是搜索所有網(wǎng)址中包含字母“action”的網(wǎng)站。

為了提高效率,哥哥用軟件批量在百度采集網(wǎng)址,如下圖

將采集的網(wǎng)址導(dǎo)入“struts 2漏洞軟件”,軟件能自動批量檢測。

1%以上的網(wǎng)站存在漏洞,銀行、學校、物流系統(tǒng)…無一幸免。

下圖是某學校網(wǎng)站的測試結(jié)果,可以隨意查看網(wǎng)站的任何信息,包括服務(wù)器的配置、安裝了哪些軟件、管理員用戶名等信息,從圖片能看出,這是個windows系統(tǒng),管理員的用戶名是:administrator 。

為了更方便的看到網(wǎng)站的數(shù)據(jù),百度搜索“jsp木馬”,隨便找一段代碼上傳到這個網(wǎng)站。

打開木馬,就能管理服務(wù)器的所有內(nèi)容,Windows2012系統(tǒng),硬盤里有幾百G的資料…

為了避免被請喝茶,就不深入了,漏洞已經(jīng)告知這家學校了。

詐騙人員會專門購買學生資料,然后打電話行騙,當年的徐玉玉案就是如此,都是學校保護資料不力,疏于管理導(dǎo)致的。

接下來,哥哥繼續(xù)演示利用商城系統(tǒng)的漏洞,批量入侵。

ecshop在國內(nèi)非常主流,大部分商城網(wǎng)站都是用這套系統(tǒng)做的。

ecshop漏洞和剛才的struts 2漏洞的操作方法一樣,先用軟件采集全網(wǎng)各大商城的網(wǎng)址,然后用軟件批量檢測。

0.5%的概率能成功,軟件會自動生成一個“coon.php”的木馬文件,密碼是sb,用下圖的軟件就能連接。

這個商城的所有源代碼和數(shù)據(jù),黑客可以隨意刪除或更改。

哥哥順手打開商城網(wǎng)站的數(shù)據(jù)庫文件,看到數(shù)據(jù)庫用戶名和密碼。

用軟件“Navicat”連接這個數(shù)據(jù)庫,找到保存用戶信息的數(shù)據(jù)表… 可以獲取商城的所有用戶信息,包括郵箱、手機號、用戶名…

在檢測的過程中,無意中進入某公司的服務(wù)器,這個服務(wù)器上居然有上百個網(wǎng)站…

瞬間幾百個網(wǎng)站的數(shù)據(jù)就公開了…

其他漏洞的操作方法同理,輕而易舉就能入侵成千上萬個網(wǎng)站。

三,黃雀在后

聰明的讀者肯定會留意到上面的一句話“軟件會自動生成一個“coon.php”的木馬文件,密碼是sb”

批量入侵留的木馬地址和密碼都是一樣的…

所以!根本不需要我們上傳木馬,只需跟著大佬的腳步,批量掃描網(wǎng)站是否存在木馬文件,并用大佬的密碼連接。

既然ECShop漏洞攻擊軟件,會生成一個coon.php的木馬文件,密碼是sb,那么我們只需批量采集商城網(wǎng)址,然后用軟件掃描是否存在coon.php的文件,這樣就能獲取其他黑客搞過的網(wǎng)站。

這個思路極為逆天!

百度搜“被黑網(wǎng)站統(tǒng)計”,有許多小黑客在獲得網(wǎng)站的權(quán)限后,會上傳一個裝逼的網(wǎng)頁,并提交到黑客網(wǎng)站,滿足虛榮心的同時還能給自己做宣傳。

小黑客們?nèi)肭趾?,留的木馬后門通常都一樣,因此只需搞定某個黑客入侵的某個網(wǎng)站,一般就能獲取他在所有網(wǎng)站留的木馬后門。

哥哥用此法把某位大佬的所有木馬都刪了…

黑產(chǎn)的變現(xiàn)手法極多,出售用戶數(shù)據(jù)、DDoS攻擊、掛廣告…這些只是入門級玩法。

針對業(yè)務(wù)型網(wǎng)站實施的攻擊,堪稱搶劫。

入侵點卡網(wǎng)站,用網(wǎng)站余額批量給自己的號充值,然后轉(zhuǎn)手出售,一晚洗劫數(shù)十萬。

入侵競價網(wǎng)站,偷別人網(wǎng)站的客戶。

四,大道至簡

無極領(lǐng)域的文章標題,只要和網(wǎng)賺相關(guān),標題帶有日賺xxx元,閱讀量通常比其他內(nèi)容多一倍。

項目終會失效,漏洞總會過時,忙碌半世,終免不了一場悲劇。

在一秒鐘內(nèi)看到本質(zhì)的人和花半輩子也看不清一件事本質(zhì)的人,自然是不一樣的命運。

1.《黑客網(wǎng) 網(wǎng)站黑客入侵實戰(zhàn),輕松拿下1000個網(wǎng)站》援引自互聯(lián)網(wǎng),旨在傳遞更多網(wǎng)絡(luò)信息知識,僅代表作者本人觀點,與本網(wǎng)站無關(guān),侵刪請聯(lián)系頁腳下方聯(lián)系方式。

2.《黑客網(wǎng) 網(wǎng)站黑客入侵實戰(zhàn),輕松拿下1000個網(wǎng)站》僅供讀者參考,本網(wǎng)站未對該內(nèi)容進行證實,對其原創(chuàng)性、真實性、完整性、及時性不作任何保證。

3.文章轉(zhuǎn)載時請保留本站內(nèi)容來源地址,http://f99ss.com/keji/345721.html