如何干掉一家网络公司、干掉互联网人,APT攻击!

起因:无极领域博客所在的主机商被攻击了,一个成立6年,在业内名气很大的网络提供商就这么被干了,旗下所有客户包括他们自己的官网全部被干死了。搞他们的十之八九是同行,这几乎是网络圈子公开的秘密,看你不顺眼就打你,打的质疑人生。

没错,本文讲一些黑客知识,以及简单搞死网络公司的案例和方法。看反响,大家喜欢,我就细致写写。

难吗?

小学生都能搞懂的东西能有多难!

struts2漏洞,一个小学生都会用的漏洞,成千上万个网站被攻击,其中不乏被搞破产的。

这个漏洞,我最早在2012年接触的,见证过太多人一晚上几万~十几万的收入,当然,血洗之后部分公司的网站再也打不开了…

struts2是一个框架,很多话费充值、商城类网站都是在这个框架下做的,框架出漏洞了,这些话费充值、商城网站…无一能避免。

包括一些银行官网都被搞过哦,名字我就不说了,想想在银行网站搞个恶作剧,比如一张鬼脸或美女,这该有刺激,我胆小,没敢弄。

黑客

既然说小学生都会用,就得上图,不然没人信…

只要把网址复制到上面打码的框里,点击验证漏洞,如果存在就会提示,接着看上面有个文件上传的按钮,上传个网页木马就好了,网上随便就能下载到…

入侵一个网站60秒左右吧..

当然找这类用struts2做的网站就更简单了,直接搜索就行,关键字都是现成的

inurl:index.action 充值

inurl:商城.action

inurl:action?id=

没有NB的关键字 只有爱想的脑袋,这类用struts2框架做的网站,网址结尾都大多是“.action”

百度搜索"inurl:.action” 可以理解为,搜索网址里含有“.action”的页面。

就是这么精准,批量搜索,批量查询,批量入侵。

找到某便民充值平台后,可以登录服务器,就和操作自己电脑一样,想干嘛就干嘛,就和下图一样。

黑客

名和密码导出到自己电脑。

用这些用户名和密码登陆后台,给自己充值,也可以直接在Q群里交易,例如话费8折,在网上直接就卖疯了,一些店主会和黑客合作干这事。

Q币也是硬通货,直接把Q币全部充值在一个或几个Q上,然后出售带Q币的Q号,也是8折~8.5折,这个更省事。

总得来说,找对网站,一晚上轻松几万不是问题。

一些实力小点的公司,直接就破产了,一年也赚不了多钱,一晚上就没了。

被抓怎么办?

被抓的概率不足0.1%,建议提前多买些彩票,如果被抓了你肯定就中奖了。

“跳板”这个词很好理解,就是我远程遥控其他电脑远程登录被害网站,这样即使查到了,也是查到的你遥控的电脑。

通常是这样搞的,先买一个VPN,1个月30块钱,很简单就把自己IP换成韩国的,然后租个日本的VPS(可以理解为电脑主机,一个月50块钱),为了掩人耳目可以把租的日本主机装个英文版系统。

通过韩国IP连接日本的服务器,通过日本服务器操作被害网站,进行洗劫操作。即使查IP,也是日本的,去日本取证后发现是韩国IP…

哈哈,如果你数额巨大,可以多搞几个跳板….

我的水平仅仅是高中自己摸索了两年,无任何人指导,足见技术之差,上面这些我都能摸透,那些真正的大神就又会是怎样呢?

难吗?

我刚接触的时候,真的被小学生歧视过“你都高中了,怎么连这都不会… …”

远程控制难么

很简单、很简单、很简单

1:申请一个动态域名(免费).

2:很多论坛都可以下载到远控木马,早期的灰鸽子、冰河、GhOst,简单设置一下(免费).

3:物理接触受害者的电脑,安装木马并添加到杀软白名单,这样杀软以后就再也看不到这个木马了,这里的核心是”白名单“ 。

物理接触的意思就是,妹子找你装电脑,你手摸着她的电脑,给她装了个系统,附带着装了个木马。

如果要搞陌生人,那就不容易了,因为木马是会被杀软查杀的,但是会免杀的人,杀软也没辙。

DDOS,搞你没商量,不管你是谁,打的你妈都不认识你

一个运营6年的网络服务提供商,就这么被打了连续几天毫无招架之力,那么多客户无一幸免,无极领域博客就是受害者之一。

举个栗子

一群流氓打算搞对门有竞争关系的商铺!

流氓们装作普通客户全部拥入对手的商铺,赖着不走,真正的购物者却无法进入。

然后和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户。

也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空。

最终跑了真正的大客户,损失惨重。

流氓人多,大伙一起干,铁杵磨成针。DDoS攻击就这个意思。

一个人控制大量电脑,然后同时涌入要攻击的IP,这样他就没办法接待正常访客了,对外显示就是网页打不开,就和我博客一样。

01

搞死别人网站太廉价了

前几天看到又有人抄袭我的内容,而且还不留版权,我这不入流的技术,30秒就把对方网站打趴下了,我电脑50M带宽,用的CC攻击。

对方用的美国主机,美国可以随便打,没事。

让你抄,让你不留版权,打死你。

这个我在纵横会群里秀了一下

黑客

总的来说,大家都挺善良的,也没啥大仇,所以十几分钟后这个网站就恢复了。

这件事告诉我一个道理,坏事有偷偷做。

当然,也是这个网站太弱了,所以才能一搞就死。

一般来说80%的网站都是一打就死。

好点的主机就直接雇人打,几百块就能打死。

打个10天,一个网站差不多客户就流失光了,对方换高防主机,你就加大火力。

有点类似城墙和大炮的关系,说白了就是一场资金消耗战,只不过战场在敌人领土,生灵涂炭也是对方的损失大。

现在知道搞垮一家网络公司有多简单了吧,有钱,一切 so easy

追查难度太大了…

APT攻击无物不破,专治各种不服

嗯,你确实有钱,防御好,势力大。

但如果有人1年、5年、10年的搞你,你怕不!

用个词形如就是 “不死不灭”

通常用于国家层面的网战。

DDOS更像是流氓,管你多厉害,我人多。

APT则是毒蛇,持续地收集你的一切信息,然后整理汇总并分析,从各种边沿业务着手,一步步的接近你。

例如你打算搞一家大网站,可是主站防御特别好。

于是你就查这家公司旗下其他的网站,并且搜集他们的员工邮箱。

运气不错,找到这家公司几十个员工的邮箱号,开始用公开的数据库查一下,看看曾经是否泄漏过密码(一半的概率能查到,这种查询方法叫做“社工库”)

如果没查到,就批量尝试弱密码,也就是国人常用的“123456”、“111111”、“123456”、“生日”这类弱到极致的密码,通常查到的概率也挺高的。

登录员工邮箱,查看有用的敏感信息,也可以通过员工邮箱钓鱼其他员工…

前面搜集了不少大企业的旗下其他网站,(软件直接开扫…)其中某个站恰好有漏洞,拿到权限后可以ARP嗅探,也就是同IP段,你有一定概率可以得到其他服务器的用户名和密码。

总得来说,这是一个细致的活,而且技术含量不高,全程软件就能搞定。

我不懂QQ这个软件是怎么编写的,但是我也会用QQ发消息

我不懂网站源码怎么写,但是我也会用源码做网站

高端的黑客技术我也不懂,但是我会用软件。

上次世纪佳缘把一个给他们提交漏洞的人抓了,这个网站够大吧,算是国内知名的大婚恋网站。

其实这个被抓的哥们只是用了一款软件,名字叫"sqlmap"

大黑客们居家旅行,杀人越货必备软件之一。

哦,软件是免费的。

网上搞人的方法太多了,稍稍用点心就能让目标应接不暇,声名狼藉,我不会讲太多细节东西,只做一个兴趣引导,这两天运气不好,就普及点坏事怎么做,关于防御我知道的不多。

一个只能隐藏在黑暗的角色

我高中只自学了2年就放弃了,很早前我就意识到,这是违法、且上不得台面,…

网易、腾讯、新浪、阿里、携程、天涯、CSDN….你所知道的大网站全部都被爆出过漏洞,而这个平台名字叫“乌云网”

但是它前几月已经关停了。

曾经最出名的查开房数据就是乌云爆出的…

乌云的存在引发信任危机,它曝光了太多本该不被民众知道东西。

职业打脸国内大型网络公司…

如果只是一个圈子内的小网站,倒也罢了。

只可惜它出名了,所以它的死期就到了。

哦,说个好玩的。

在支付漏洞爆发的那阵子,有个黑客在某支付平台(有牌照的)给自己充值了1000000000元,也就是10亿。

然后他把这个漏洞提交了。

但行好事,莫问前程。

有1万种方法可以搞一个人,那些徘徊于各大网站评论区的喷子们,你们小心哦,说不准哪天就会被人收拾的哦,例如打断狗腿。

以上讲到的思路,这类人被称为“脚本小子”,脚本小子(script kiddie)略带贬义的词,用来描述以“黑客”自居并沾沾自喜的初学者。脚本小子不像真正的黑客那样发现系统漏洞,他们通常使用别人开发的程序来恶作剧。通常的印象为一位没有专科经验的少年,破坏无辜网站企图使得他的朋友感到惊讶。因而称之为脚本小子。

所以我总会强调自己不入流,强调这是部分中小学生都会的东西,不是谦虚,是真的不难。

无极领域原创,内容来自微信公众号:无极领域

个人公众号:wujiyyy (微信公众号有其他文章…)

QQ/微信:83691843

我的博客:http://1230.la (受主机商牵连,无妄之灾,目前处于半死不活的状态)

01

转载请保留出处:无极领域 » 如何干掉一家网络公司、干掉互联网人,APT攻击!

赞 (24)