极光骇客_飞梭之影【完结】(210)

阅读记录

余宏生兴奋的说:‘对,一定是他,他一定是入侵者,挡住他的IP。’

宇成阻止说:‘先等一等,如果对方是友方或子公司的,那我们的商业交流会受到损失的。如果对方是透过跳板的骇客,他一定会不断变换IP,挡了也没用。所以我要用炎黄系统仔细观察他的动向。’

余宏生点头说:‘好、好。这套炎黄系统真是厉害,不愧是极光!’

宇成突然发现说:‘小心了,对方突然传来超过缓冲区的指令文字。’

余宏生大惊说:‘这是BufferOverflow攻击,他的确是骇客!’

宇成说:‘你放心,炎黄系统可以直接处理截掉多余的指令。’

余宏生面色凝重的说:‘攻击,已经开始了............’

过了一段时间,云飞发现多道指令都没有效果,于是先停止攻击。

徐定国问:‘怎么样?行不行?’

云飞说:‘对方有使用外部程式过滤封包,竟会截掉造成溢位的过长指令。’

徐定国问:‘那接下来要怎么办?’

云飞说:‘对方应该已经知道我们的目的了,那就直接...进入吧!’

云飞更换一个跳板IP位置后,便立即尝试使用SQL的数据隐码进行攻击。

宇成说:‘这个IP消失了,但现在有另一个IP联机过来。’

余宏生愤怒的指着屏幕说:‘我想一定是他,不会错的。’

宇成又说:‘不过他目前并没有什么奇怪的动作,一切都属于正常状态。’

但在山猫帮这边,云飞却已经着手操作SQLInjection式的攻击,直击数据库。

云飞说:‘若对方有漏洞,就朝着漏洞进攻;若对方没漏洞,就给它一个漏洞。’

徐定国问:‘你现在一直尝试着登入是怎么样?’

云飞说:‘从登入错误的画面,可以发现到对方是使用ASP透过ODBC驱动程式去存取MSSQLServer,而在这里却发现一个有趣的事,那就是:这里的错误页面显示的errorcode里有好东西和这页面的位置为login。asp?ec=nouser;。’

徐定国问:‘那又怎么样?’

云飞说:‘假设这个login。asp后面用?带上其他的语法会显示什么呢?’

云飞继续输入并改变万用字元尝试找到一个可用的用户名名称:‘可恶,如果宇成在的话说不定用他的直觉会比较好猜到一个有可能的名字。有了,st358721,这个是一个帐户!太好了,替死鬼,真是对不起,要借你的ID用一用了。’

宇成见新联机IP只是正常操作网页的联机,也没有特别再用什么攻击,心想:‘难道对方真的只是一般的操作者吗?和之前的骇客不是同一个人吗?不对...这是...是“SQL隐码攻击”!’

宇成突然感觉到了,并回忆起过去云飞所教过的SQL隐码,但只知道攻击方式的他,却完全不知道相对应的防护与反追踪方法。懊恼之余,不免悔恨的想:‘可恶...我为什么要浪费那么多时间在无意义的逃避之上呢?如果...如果我没有中止学习的话,我一定也能学会防御方式反制SQL隐码攻击的!我竟然连心婷那小小的愿望都保护不了,如果对方继续破坏这服务器我该怎么办?’

此刻的宇成懊悔不已,毕竟当他决定停止学习骇客技术之时,只是着眼于骇客两面刃的“入侵与破坏”之上,却没有再继续想到信息安全、防护等等两面刃的另一面。宇成此刻终于开始理解云飞、明昂、爸爸...等人所说的真正意义。

而云飞则继续想办法破解用户名:‘通常这用户名的数据表也会放在同一个数据库,但是其TABLE的命名会是什么?user?userid?name?people?如果宇成在他会猜那一个名字呢?而且,因为现在用暴力破解法实在不合时间效益,如果能直接找到管理会员数据的数据表并update其密码栏位的话,就可以直接用新密码登入。’

云飞改变做法,直接从网址列后面加上SQL语法试图藉此读取出有关SQL数据库的任何线索。很幸运的,或许因为是隐藏网页的关系还是设计者并没有想到这方面的事,单引号及特殊字元并未滤除,而传送的语法也可以正常使用。

云飞心想:‘好,从这次的errorcode中显示了比较有用的信息,至少可以知道用户名栏位与密码栏位的名称为golduserid和golduserpwd,我想这是为了和一般会员区别而设计的命名,如果从命名角度来想,会不会是golduser为数据表名?’

云飞于是改变语法让它附带WHERETABLE_NAME=golduser果然成功了。

云飞大喜的想:‘好,确定了数据表名为golduser后,就update老兄的密码。’

云飞将SQL语法改成UPDATEgolduserpwd=‘pppppp‘并且指定golduserid=‘st358721‘然后一样按ENTER让IE把这些数据隐码一并送去给IISASP处理,回传出来的页面还是跟以前一样,但也代表这道update语法已经成功了。

云飞说:‘好了,找另一台计算机利用这个人的用户名与他的“新密码”进去看看吧!’

徐定国兴奋的说:‘刘俊雄,开另一部计算机,用st358721和pppppp登入看看。’

刘俊雄便照做,而宇成则是发现另一个IP也联机上来。

宇成问道:‘现在又有另一个IP联机进来,是已知的IP吗?’

余宏生便输入这个IP到金鹰集团的IP分属数据库中找,却找不到。

52书库推荐浏览: 飞梭之影