京文提示您:看後求收藏(奇妙書庫www.qmshu.tw),接著再看更方便。
刀。
新浪,國際性質的知名網站,更號稱中國的第一入口網站,安全方面一定做地非常好,那我就拿它作為我的第一個目標。
按照常理推斷。這種龐大地頂級商業網站,應該有專業的安全管理人員對網站進行24小時的實時監控,這樣對我滲透系統並不有利!
對於這種情況,即使超級駭客,還是有些頭疼的!
因為萬一滲透不成功,肯定會被發現,而且極可能會被對方管理員查詢到入侵的IP地址。如果管理員進行封殺地話,我使用的是固定IP。這樣對我以後開展行動真的非常不利。
鑑於相關安全顧慮及考慮事後影響,此次行動還是不讓外界發現為妙,所以在真正入侵之前,我決定對該網站進行一次本地的模擬攻擊,以此來提高入侵的安全性和隱蔽性!
更何況前些年,我的私生活都處於美國政府的監控下,並沒有機會接觸新地作業系統,對新的作業系統也沒有以前那麼熟悉,由此本地的模擬攻擊顯然非常有必要。
還好有過良好的習慣,前晚就已經對新浪等入口網站進行過安全評測,對新浪網的安全性也算有一定的瞭解,LINUX+APAQI+MYSQL的搭配,資料庫伺服器和WEB伺服器並不在同一臺伺服器內!
考慮到對現在的系統沒有絕對信心,以及針對新浪網的堡壘機滲透準備不足等情況,我再三考慮,還是決定從資料庫伺服器著手。因為資料庫伺服器要處理很多內部的和外部的資訊,所以它極有可能產生一些漏洞!
於是我在本地準備好一個LINUX系統,並搭載好MYSQL的資料庫系統,然後自己編寫一個間斷性命令處理迴圈程式碼,讓MYSQL持續執行,以便尋找MYSQL資料庫的系統漏洞!
在一個多小時的漫長等待裡,我反覆提交讓伺服器能夠執行,並處理容易出錯的命令,這種千篇一律的工作使我感到非常煩躁。
因為駭客這個職業需要具備非比尋常的耐心,而現在的我,卻在處於極度煩躁狀態,這並不利我進行工作!
清楚的認識到這一點,我耐住性子,依舊一次又一次的提交不同的執行命令,讓伺服器反覆執行,隨著時間流逝,我終於度過這個煩躁的心理週期。
慢慢的,經過實踐,我發現剛才的辦法行不通,只能停下操作,另謀對萊。
我靜靜的回憶過去,好像曾經遇到過相似的情況,那時我是如何處理的?我拍拍額頭,起身在屋內來回渡步,希望大腦充血,靈感來臨。
對了,透過VI編輯器的交換檔案機制,獲得非法許可權,我依稀記得五年前我曾經利用VI編輯器的檔案交換機制在競爭狀態中產生的安全問題,成功滲透某家知名網站,不知道這個漏洞,經過五年的時間變遷,是否已經被彌補。
呵呵,我的運氣實在不錯,難道VI編輯器的安全機制漏洞至個還未暴露,還是新浪網沒有打上補丁?
我管不了這麼多,有了這個漏洞,可讓我省事許多。直接抓住被編輯的交換檔案和一個不存在的檔案建立符號連線時,產生的安全問題。透過猜測其合法使用者的檔名,我就可以和該檔案建立連線。
利用該連線,我還可以非法執行VIM,從而控制且破壞整個系統,由此我也順利解決了對這個系統的入侵實踐擁有安全保證後,回到現實。找到我曾經獲得安全資訊的LINUX+MYSQL機器,依照上邊的實踐步驟。在對方管理員的眼皮子底下,我順利完成對這臺資料庫伺服器地入侵!
但是事情並不簡單,我還沒來得及開心,又接踵而至出現新的問題!
因為MYSQL和LINUX+APAQI並不在同一臺主機中,而是在同一個區域網內,鑑於這樣地組網方案涉及到跨站入侵,所以面對殘酷的現先我再次做出決定。用這臺搭載了MYSQL的LINUX系統進行內網的本地監聽,以此獲得另外一臺LINUX+APAQ伺服器的超級管理員帳號。以及系統認為在安全狀態下傳送過來的明碼密碼!
透過長時間的艱苦奮戰,我地狀態已大不如前,好在結果還算令人滿意,我終於透過MYSQL獲得對方超級管理員的管理帳號,即使這個超級管理員帳號並不對外網開放。但我依舊能夠利用MYSOL地ROOT超級帳戶提交外部SQL執行命令,在裝有APAQI的LINUX伺服器上建立隱藏的超級管理員帳戶!
上邊的工作全部完成,現在進行收尾,為做到有頭有尾,萬無一失,我採用選節刪除記錄資訊
