当你获得一份webshell后,你会干嘛?
我曾获得N多webshell。什么discuz、dedecms、phpwind、phpweb、aspcms等等,甚至还包括N多自己研发的线上平台。
可是,问题来了,那么我能干嘛呢?
印象中,我是年由一个只会用两个工具的小伙子混入中菲黑客大战的漩涡
这几年,发生了很多的事情,有哥们开了公司。有朋友去了创宇,有朋友被抓了,有朋友去了微软
换句话说,这一群体,根本不是所谓黑客,黑客只是个伪命题。这些,只能算一些网络安全爱好者。
N年以来,很多人对“hacker”的理解就是:攻破某某大型平台、攻击XX国防系统,盗窃XX信息、盗刷XX卡、攻破XX计算机,黑首页、格盘、数据泄露、等等,想想就可怕
想想很多年前我获得一份webshell,我在网站目录下挂一个txt,然后发到群里,满足一下心里成就感。
然而,我们没有偷数据,没有破坏数据,啥都没得到,或许辛苦了几个小时,甚至几天,就为了那么一点点成就感,往往是年轻的屌丝时代的证明。
然而,有些安全爱好者,他们有着特殊的目标,他们的目标就是,数据库、服务器、网站源代码。
当一家公司的数据出现在网络交易市场,这家公司会不会面临破产的风险?当某某计算机被攻破,会不会出现艳照门?或者网银被盗?
那么这些,就仅仅取决于攻击者的素质了。
很久以前,有一位网友给我发了一个网站,说自己在网上博彩被骗了。给我带了一个网址
当我打开这个网址,瞬间知道了这个网站的一些情况,站长是一位90后大学生,依靠博彩平台赚钱。
通过社会工程学信息收集得知,这个人依靠这个博彩平台撑起其家庭与学业,至于说具体细节,我不多说。
当时,我对这个博彩平台挺有兴趣的。于是抱着尝试的心态做了一些常规的安全测试
一周左右的时间,我的xssapp平台收到一封邮件,事实证明我成功获得后台权限。
可是,那时候我通过社会工程学早已了解到这名大学生的具体情况,我真的可以对他的网站进行破坏么
答案是否定的。
其实网络世界就是一个大自然,大自然有自己的规律,适者生存法则永远存在。
我删掉了xss的信封,但是好奇心让我进了人家的后台,我知道,这个博彩平台有很多水分。
我抱着尝试的心态,获得了webshell。是net语言编写的程序。我成功获得了数据库、服务器权限。
我知道,这个网站是非法的,按照我历来的作风,碰到非法的网站,一定要加以处理。
格盘?摧毁系统?删掉数据库?nonono。可是我什么都没做。因为站长的一些事迹感动了我。
我默默的退出了服务器。在D盘留下一个记事本,告诫站长,这样做事不对的。
一周之后,我发现那个网站还没有关闭,并且我的权限依旧还在。
揣摩了一下站长的心态,其实要删除我的后门,随便来个防火墙的扫描就行,然而我的权限依旧还在,那么、。。
这是一种信任,或者说站长本身也良心不安
我看到D盘站长给我留下的回复,我默默的想了半个多小时。
其实人之所图,到底是什么。
于是我留了一句话,如果站长半个月之内再不停止博彩业务,我将通过法律渠道揭发其非法罪行。
半个月过去了,站长的网站果然关了。
站长加了我的QQ。我们也经常聊聊人生。
我大概了解到,停止业务对站长的打击很大,几乎断了其资金来源。
那时候我很惭愧,因为站长家里的一些事情。我自愧不如。
大概一个月后,那名站长在网上开了一家网店,开始以为别人搭建官方网站为盈利途径。
事情就这样结束了。
记得很久以前,有一位网友问我。如果我能拿到那个权限。给我3W人民币。
可是,人民币真的重要么?
答案是必然的,人民币可以让我改变当前寄人篱下的现状。
但是有一点我做不到,我做不到问心无愧,我会惭愧一辈子。
问心无愧,懂么?
大概是去年,我获得某某大型金融p2p企业的webshell。看着oracle的数据库
看着平台的几十万会员
看着几十亿流动资金
我还真萌生了数据库化为利润的想法
正当我重新进入webshell,我旁边的邻家小妹妹跑到我身边,说要看动漫
我摇摇头,甩掉脑袋里邪恶的心思,我想,做人,还是朴实点好。
而后我把漏洞提交给了该公司的技术部,获得了四位数的奖金。
当我看着支付宝收款的订单和致谢的语言,我沉默了,或许数据库可以变成五位数甚至六位数的金钱,然而我做不到,我不能给未来的漫漫人生路留下不可磨灭的黑暗阴影,做人,不就是要这样坦坦荡荡不是么。
无聊的时候,我找一些恋爱app进行安全审计,逗逗妹子。
心情不好的时候,我找一些上线不久的app,攻击后审计他们的程序,发现代码写得比我糟糕很多,于是我开始得意盎然
经济紧张的时候,我审计一些小型公司的app。因为发现漏洞很多都会直接惊动他们的高层,然而重视安全的会给我一些酬谢
我把安全锦旗贴在床边,我把某公司送我的公仔摆在床头。
我时刻提醒自己,网络安全,讲的是原则,是良心。而不是金钱。
很多企业问我,你攻击我们网站到底图谋什么
其实说无所图谋,我自己都不信。
在过去的一年中,我通过安全方面的一些技巧,获得了很多利润,但那些都是人家公司情愿给我的奖金。
其实我自己也不知道自己图谋什么,当我协助一家企业修复漏洞
当我给一家企业技术部启蒙网络安全常识和编程开发的网络安全红色领域线。
当我看到有企业给我发来的致谢词和礼品卡
当我看着收到的几份安全顾问的锦旗。
或许我图谋的,只是一份存在感。
大部分黑客是孤独的,他们在黑夜里敲着键盘,写着代码
当躺在床上,发现对一套系统有新的渗透思路,凌晨四点他都会起床去尝试
大部分没有女朋友,因为黑客自视甚高,且傲慢的性格让他们很孤独。
或许有些人长得很帅,就像笔者,但他们都有着拒人千里的气质。
他们会像一个老人,看着网络事业千奇百怪的平台、系统、app。笑看这个行业的各种漏洞与思想。
然而我心里很高兴,很开心,很多年前的一个朋友说他以前幸亏没继续钻研网络安全技术,一点用都没有
而我说我不后悔,我花了那么多时间在网络安全
我过得很开心,我问心无愧。
问题来了,当一名黑客获得你的webshell
他可以操作你的服务器,你的数据库,你的后台,你的一切给予web的文件。
甚至还能控制你的人生。
很多年前,我黑掉第一个网站,第二个网站
我在他们首页挂上我认为帅气的黑页
可是我发现,我并不高兴。并不乐观
我高兴的是,年的中菲黑客大战,我在人家网站挂上中国国旗
还有,年的对日事件,年钓鱼岛事件。
然而,我错了,我大错特错,我以为
通过一些通杀漏洞挂上他国首页
我以为,这就是荣耀
可是,别国人民与我国一样,这真的是荣耀么?
不,这是丢人现眼。
然而,现在每年都会出现一些网络安全的后辈
走着我曾经走过的老路
当你挂上一个网站首页的时候
当你格式化人家磁盘的时候
当你删除人家数据库的时候
你的良心呢?
比特币赞助打赏北京治疗白癜风一般需多少钱北京白癜风治疗效果好的医院
