去。与齐冰的通话结束,为做到万无一失,我又给费达夫『妇』去了电话,事先关照一声,让陆璐做好准备,并约定最迟明晚八点,她把制作好的合成照片传给我。
计划开展三分之二,我静静的靠在躺椅上,仰望窗外无尽的夜空,寻思是否漏掉哪些细节?
……
所谓有智者,事竟成!经过晚饭时的仔细推敲,我终于发现整个计划中的不稳定因素。万一精心准备的冒名新闻稿被人发现,很快被网站删除,那我之前所做的一切,全部将功亏于溃?
要想上传的新闻稿需要在短期内不被修改,我务必让几家网站的管理员对我发表的文章不具备修改,删除等权限,而我之前获得的普通管理员权限显然远远不够!
想想,我还剩下不到一天的时间,要获得三家网站的超级管理员帐户和密码,工作量可想而知,于是我放弃休息,重新回到电脑前,准备先找其中一家磨刀。
新『『138看书网』站,安全方面一定做的非常好,那我就拿它作为我的第一个目标。
按照常理推断,这种庞大的顶级商业网站,应该有专业的安全管理人员对网站进行24小时的实时监控,这样对我渗透系统并不有利!
对于这种情况,即使超级黑客,还是有些头疼的!
因为万一渗透不成功,肯定会被发现,而且极可能会被对方管理员查找到入侵的ip地址。如果管理员进行封杀的话,我使用的是固定ip,这样对我以后开展行动真的非常不利。
鉴于相关安全顾虑及考虑事后影响,此次行动还是不让外界发现为妙,所以在真正入侵之前,我决定对该网站进行一次本地的模拟攻击,以此来提高入侵的安全『性』和隐蔽『性』!
更何况前些年,我的私生活都处于美国『政府』的监控下,并没有机会接触新的『操』作系统,对新的『操』作系统也没有以前那么熟悉,由此本地的模拟攻击显然非常有必要。
还好有过良好的习惯,前晚就已经对新『『138看书网』的安全『性』也算有一定的了解,linux+apaqi+mysql的搭配,数据库服务器和web服务器并不在同一台服务器内!
考虑到对现在的系统没有绝对信心,以及针对新浪网的堡垒机渗透准备不足等情况,我再三考虑,还是决定从数据库服务器着手。因为数据库服务器要处理很多内部的和外部的信息,所以它极有可能产生一些漏洞!
于是我在本地准备好一个linux系统,并搭载好mysql的数据库系统,然后自己编写一个间断『性』命令处理循环代码,让mysql持续执行,以便寻找mysql数据库的系统漏洞!
在一个多小时的漫长等待里,我反复提交让服务器能够运行,并处理容易出错的命令,这种千篇一律的工作使我感到非常烦躁。
因为黑客这个职业需要具备非比寻常的耐心,而现在的我,却在处于极度烦躁状态,这并不利我进行工作!
清楚的认识到这一点,我耐住『性』子,依旧一次又一次的提交不同的执行命令,让服务器反复执行,随着时间流逝,我终于度过这个烦躁的心理周期。
慢慢的,经过实践,我发现刚才的办法行不通,只能停下『操』作,另谋对策。
我静静的回忆过去,好像曾经遇到过相似的情况,那时我是如何处理的?我拍拍额头,起身在屋内来回踱步,希望大脑充血,灵感来临。
对了,通过vi编辑器的交换文件机制,获得非法权限,我依稀记得五年前我曾经利用vi编辑器的文件交换机制在竞争状态中产生的安全问题,成功渗透某家知名网站,不知道这个漏洞,经过五年的时间变迁,是否已经被弥补。
呵呵,我的运气实在不错,难道vi编辑器的安全机制漏洞至今还未暴『露』,还是新浪网没有打上补丁?
我管不了这么多,有了这个漏洞,可让我省事许多。直接抓住被编辑的交换文件和一个不存在的文件建立符号连接时,产生的安全问题。通过猜测其合法用户的文件名,我就可以和该文件建立连接。
利用该连接,我还可以非法运行vim,从而控制且破坏整个系统,由此我也顺利解决了对这个系统的入侵实践
拥有安全保证后,回到现实,找到我曾经获得安全信息的linux+mysql机器,依照上边的实践步骤,在对方管理员的眼皮子底下,我顺利完成对这台数据库服务器的入侵!
但是事情并不简单,我还没来得及开心,又接踵而至出现新的问题!
因为mysql和linux+apaqi并不在同一台主机中,而是在同一个局域网内,鉴于这样的组网方案涉及到跨站入侵,所以面对残酷的现实,我再次做出决定。用这台搭载了mysql的linux系统进行内网的本地监听,以此获得另外一台linux+apaq服务器的超级管理员帐号,以及系统认为在安全状态下发送过来的明码密码!
通过长时间的艰苦奋战,我的状态已大
(本章未完,请点击下一页继续阅读)