起因:
无极领域博客所在的主机商被攻击了,一个成立6年,在业内名气很大的网络提供商就这么被干了,旗下所有客户包括他们自己的官网全部被干死了。搞他们的十之八九是同行,这几乎是网络圈子公开的秘密,看你不顺眼就打你,打的质疑人生。
没错,本文讲一些黑客知识,以及简单搞死网络公司的案例和方法。看反响,大家喜欢,我就细致写写。
难吗?
小学生都能搞懂的东西能有多难!
struts2漏洞,一个小学生都会用的漏洞,成千上万个网站被攻击,其中不乏被搞破产的。
这个漏洞,我最早在2012年接触的,见证过太多人一晚上几万~十几万的收入,当然,血洗之后部分公司的网站再也打不开了...
struts2是一个框架,很多话费充值、商城类网站都是在这个框架下做的,框架出漏洞了,这些话费充值、商城网站...无一能避免。
包括很对银行都被搞过哦,名字我就不说了,想想在银行网站搞个恶作剧,比如一张鬼脸或美女,这该有刺激,我胆小,没敢弄。
既然说小学生都会用,就得上图,不然没人信...
只要把网址复制到上面打码的框里,点击验证漏洞,如果存在就会提示,接着看到有个文件上传的按钮没,上传个网页木马就好了,网上随便就能下载到...
入侵一个网站60秒左右吧..
当然找这类用struts2做的网站就更简单了,直接搜索就行,关键字都是现成的
inurl:index.action 充值
inurl:商城.achtion
inurl:action?id=
没有NB的关键字 只有爱想的脑袋,这类用struts2框架做的网站,网址结尾都大多是“.achtion”
百度搜索"inurl:.achtion” 可以理解为,搜索网址里含有“.action”的页面。
就是这么精准,批量搜索,批量查询,批量入侵。
找到某便民充值平台后,可以登录服务器,就和操作自己电脑一样,想干嘛就干嘛,就和下图一样。
然后找到数据库,把用户名和密码导出到自己电脑。
用这些用户名和密码登陆后台,给自己充值,也可以直接在Q群里交易,例如话费8折,在网上直接就卖疯了,一些店主会和黑客合作干这事。
Q币也是硬通货,直接把Q币全部充值在一个或几个Q上,然后出售带Q币的Q号,也是8折~8.5折,这个更省事。
总得来说,找对网站,一晚上轻松几万不是问题。
一些实力小点的公司,直接就破产了,一年也赚不了多钱,一晚上就没了。
被抓怎么办?
被抓的概率不足0.1%,建议提前多买些彩票,如果被抓了你肯定就中奖了。
“跳板”这个词很好理解,就是我通过其他电脑远程登录被害网站,这样即使查到了,也是查到的你遥控的电脑。
通常是这样搞的,先买一个VPN,1个月30块钱,很简单就把自己IP换成韩国的,然后租个日本的VPS(可以理解为电脑主机,一个月50块钱),为了掩人耳目可以把租的日本主机装个英文版系统。
通过韩国IP连接日本的服务器,通过日本服务器操作被害网站,进行洗劫操作。即使查IP,也是日本的,去日本取证后发现是韩国IP...
哈哈,如果你数额巨大,可以多搞几个跳板....
我的水平仅仅是高中自己摸索了两年,无任何人指导,足见技术之差,上面这些我都能摸透,那些真正的大神就又会是怎样呢?
难吗?
我刚接触的时候,真的被小学生歧视过“你都高中了,怎么连这都不会... ...”
远程控制难么
很简单、很简单、很简单
1:申请一个动态域名(免费).
2:很多论坛都可以下载到远控木马,早期的灰鸽子、冰河、GhOst,简单设置一下(免费).
3:物理接触受害者的电脑,安装木马并添加到杀软白名单,这样杀软以后就再也看不到这个木马了,这里的核心是”白名单“ 。
物理接触的意思就是,妹子找你装电脑,你手摸着她的电脑,给她装了个系统,附带着装了个木马。
如果要搞陌生人,那就不容易了,因为木马是会被杀软查杀的,但是会免杀的人,杀软也没辙。
DDOS,搞你没商量,不管你是谁,打的你妈都不认识你
一个运营6年的网络服务提供商,就这么被打了连续几天毫无招架之力,那么多客户无一幸免,无极领域博客就是受害者之一。
举个栗子
一群流氓打算搞对门有竞争关系的商铺!
流氓们装作普通客户全部拥入对手的商铺,赖着不走,真正的购物者却无法进入。
然后和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户。
也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空。
最终跑了真正的大客户,损失惨重。
流氓人多,大伙一起干,铁杵磨成针。DDoS攻击就这个意思。
一个人控制大量电脑,然后同时涌入要攻击的IP,这样他就没办法接待正常访客了,对外显示就是网页打不开,就和我博客一样。
搞死别人网站太廉价了
前几天看到又有人抄袭我的内容,而且还不留版权,我这不入流的技术,30秒就把对方网站打趴下了,我电脑50M带宽,用的CC攻击。
对方用的美国主机,美国可以随便打,没事。
让你抄,让你不留版权,打死你。
这个我在纵横会群里秀了一下
总的来说,大家都挺善良的,也没啥大仇,所以十几分钟后这个网站就恢复了。
这件事告诉我一个道理,坏事有偷偷做。
当然,也是这个网站太弱了,所以才能一搞就死。
一般来说80%的网站都是一打就死。
好点的主机就直接雇人打,几百块就能打死。
打个10天,一个网站差不多客户就流失光了,对方换高防主机,你就加大火力。
有点类似城墙和大炮的关系,说白了就是一场资金消耗战,只不过战场在敌人领土,生灵涂炭也是对方的损失大。
现在知道搞垮一家网络公司有多简单了吧,有钱,一切 so easy
追查难度太大了...
APT攻击无物不破,专治各种不服
嗯,你确实有钱,防御好,势力大。
但如果有人1年、5年、10年的搞你,你怕不!
用个词形如就是 “不死不灭”
通常用于国家层面的网战。
DDOS更像是流氓,管你多厉害,我人多。
APT则是毒蛇,持续地收集你的一切信息,然后整理汇总并分析,从各种边沿业务着手,一步步的接近你。
例如你打算搞一家大网站,可是主站防御特别好。
于是你就查这家公司旗下其他的网站,并且搜集他们的员工邮箱。
运气不错,找到这家公司几十个员工的邮箱号,开始用公开的数据库查一下,看看曾经是否泄漏过密码(一半的概率能查到,这种查询方法叫做“社工库”)
如果没查到,就批量尝试弱密码,也就是国人常用的“123456”、“111111”、“123456”、“生日”这类弱到极致的密码,通常查到的概率也挺高的。
登录员工邮箱,查看有用的敏感信息,也可以通过员工邮箱钓鱼其他员工...
前面搜集了不少大企业的旗下其他网站,(软件直接开扫...)其中某个站恰好有漏洞,拿到权限后可以ARP嗅探,也就是同IP段,你就可以得到其他服务器的用户名和密码。
总得来说,这是一个细致的活,而且技术含量不高,全程软件就能搞定。
我不懂QQ这个软件是怎么编写的,但是我也会用QQ发消息
我不懂网站源码怎么写,但是我也会用源码做网站
高端的黑客技术我也不懂,但是我会用软件。
上次世纪佳缘把一个给他们提交漏洞的人抓了,这个网站够大吧,算是国内知名的大婚恋网站。
其实这个被抓的哥们只是用了一款软件,名字叫"sqlmap"
大黑客们居家旅行,杀人越货必备软件之一。
哦,软件是免费的。
网上搞人的方法太多了,稍稍用点心就能让目标应接不暇,声名狼藉,我不会讲太多细节东西,只做一个兴趣引导,这两天运气不好,就普及点坏事怎么做,关于防御我知道的不多。
一个只能隐藏在黑暗的角色
我高中只自学了2年就放弃了,很早前我就意识到,这上不得台面,这是违法...
网易、腾讯、新浪、阿里、携程、天涯、CSDN....你所知道的大网站全部都爆出过漏洞,而这个平台名字叫“乌云网”
但是它前几月已经关停了。
曾经最出名的查开房数据就是乌云爆出的...
乌云的存在引发信任危机,它曝光了太多本该不被人们知道东西。
职业打脸国内大型网络公司...
如果只是一个圈子内网站,倒也罢了。
只可惜它出名了,所以它的死期就到了。
哦,说个好玩的。
在支付漏洞爆发的那阵子,有个黑客在某支付平台(有牌照的)给自己充值了100000000元,也就是10亿。
然后他把这个漏洞提交了。
但行好事,莫问前程。
有1万种方法可以搞一个人,那些徘徊于各大网站评论区的喷子们,你们小心哦,说不准哪天就会被人收拾的哦,例如打断狗腿。
无极领域原创,内容来自我的公众号:无极领域
个人公众号:wujiyyy
QQ/微信:83691843
我的博客: http:// 1230.la (受主机商牵连,无妄之灾,目前处于半死不活的状态)