|
一)胜率 初恋结婚的概率为1%,所谓天长地久,不过是一厢情愿。 初次创业的成功率在5%左右,所谓雄心壮志,只是廉价炮灰。 赌场的胜率只需多占1%,那些聪明智慧运气爆发的赌客,终究只能是输家。 勇气、拼搏、努力、挑战自己、大无畏精神… 这些溢美之词,终将成为凡人的噩梦,任他天赋异禀,才华绝伦,也免不了一世悲剧。 想要成为最终的赢家,其实也简单。 永远站在胜率较高的一方!绝不孤注一掷!挑软柿子捏! 积跬步必至千里,积小流终成江海,携大道之力,可破万物。 世界上什么东西也替代不了持之以恒,才华不能够,因为不成功的才子到处都是;天赋也不能够,因为这个世界上到处是受过良好教育的乞丐。惟有正确的方法和持之以恒才是万能的。 万法相通,哥哥已经多年没接触黑客技术,但入侵网站的效率反而更胜从前。 二)批量入侵网站 无论多么严密的系统和安全措施,终究是人在操控,人才是漏洞的根源。 无需任何技术,小学以上文化水平,智力不低于人类平均水平,就能实施黑客攻击。 * 弱口令批量入侵 做网站时,先要将网站源码上传到服务器。 FTP就是上传源码到服务器的软件,因此只要获得网站的FTP密码,这个网站的所有数据就唾手可得。 总会有一些网站的密码非常简单,如上图某网站的密码是123456; 通过搜索引擎采集大量网址,然后用软件自动扫描,成千上万个网站中,总会有那么几个网站的密码很简单。 根据哥哥的测试,此方法有0.03%的成功率,1万个网站中有3个是弱密码。 黑产可以倒卖这些网站的数据获利,也可以用这些网站发广告赚钱,尤其是博彩行业最喜欢这么干,收获颇丰。 * 漏洞批量入侵法 哥哥随手搞了下,轻松拿下几百个网站的权限,这其中包括大型集团、商城、政府、银行… “struts 2”是个网站应用框架,程序员在struts2框架的基础上能方便快捷的开发出各种网站。但这个框架在2014年~2018年期间,出现8个漏洞,无数大型网站沦陷,堪称黑产圈的狂欢节。 虽然是老漏洞了,但必定还有很多网站比较幸运,没有被入侵,就拿这些幸运儿开刀吧。 使用“struts 2”框架做的网站,网址通常会包含一个单词“action”。 用百度高级指令搜索,inurl:action,意思是搜索所有网址中包含字母“action”的网站。 为了提高效率,哥哥用软件批量在百度采集网址,如下图 将采集的网址导入“struts 2漏洞软件”,软件能自动批量检测。 1%以上的网站存在漏洞,银行、学校、物流系统…无一幸免。 下图是某学校网站的测试结果,可以随意查看网站的任何信息,包括服务器的配置、安装了哪些软件、管理员用户名等信息,从图片能看出,这是个Windows系统,管理员的用户名是:administrator 。 为了更方便的看到网站的数据,百度搜索“jsp木马”,随便找一段代码上传到这个网站。 打开木马,就能管理服务器的所有内容,Windows2012系统,硬盘里有几百G的资料… 为了避免被请喝茶,哥哥就不深入了,漏洞已经告知这家学校了。 诈骗人员会专门购买学生资料,然后打电话行骗,当年的徐玉玉案就是如此,都是学校保护资料不力,疏于管理导致的。 接下来,哥哥继续演示利用商城系统的漏洞,批量入侵。 ecshop在国内非常主流,大部分商城网站都是用这套系统做的。 ecshop漏洞和刚才的struts 2漏洞的操作方法一样,先用软件采集全网各大商城的网址,然后用软件批量检测。 0.5%的概率能成功,软件会自动生成一个“coon.php”的木马文件,密码是sb,用下图的软件就能连接。 这个商城的所有源代码和数据,黑客可以随意删除或更改。 哥哥顺手打开商城网站的数据库文件,看到数据库用户名和密码。 用软件“Navicat”连接这个数据库,找到保存用户信息的数据表… 可以获取商城的所有用户信息,包括邮箱、手机号、用户名… 在检测的过程中,无意中进入某公司的服务器,这个服务器上居然有上百个网站… 瞬间几百个网站的数据就公开了… 其他漏洞的操作方法同理,轻而易举就能入侵成千上万个网站。 三)黄雀在后 聪明的读者肯定会留意到上面的一句话“软件会自动生成一个“coon.php”的木马文件,密码是sb” 批量入侵留的木马地址和密码都是一样的… 所以!根本不需要我们上传木马,只需跟着大佬的脚步,批量扫描网站是否存在木马文件,并用大佬的密码连接。 既然ECShop漏洞攻击软件,会生成一个coon.php的木马文件,密码是sb,那么我们只需批量采集商城网址,然后用软件扫描是否存在coon.php的文件,这样就能获取其他黑客搞过的网站。 这个思路极为逆天! 百度搜“被黑网站统计”,有许多小黑客在获得网站的权限后,会上传一个装逼的网页,并提交到黑客网站,满足虚荣心的同时还能给自己做宣传。 小黑客们入侵后,留的木马后门通常都一样,因此只需搞定某个黑客入侵的某个网站,一般就能获取他在所有网站留的木马后门。 哥哥用此法把某位大佬的所有木马都删了… 黑产的变现手法极多,出售用户数据、DDOS攻击、挂广告…这些只是入门级玩法。 针对业务型网站实施的攻击,堪称抢劫。 入侵点卡网站,用网站余额批量给自己的号充值,然后转手出售,一晚洗劫数十万。 入侵竞价网站,偷别人网站的客户。 四)大道至简 无极领域的文章标题,只要和网赚相关,标题带有日赚xxx元,阅读量通常是其他内容的一倍。 在一秒钟内看到本质的人和花半辈子也看不清一件事本质的人,自然是不一样的命运。 — 完—
| 
[复制链接]
窥视卡
发表于 2018-12-16 11:41:38
显身卡
发表于 2018-12-16 11:51:04
