WooYun Zone镜像——如果可以写成小说的话。。。论一下免费的午餐

admin 7月前 132

1.社工库

如今主流的各种CMS爆出漏洞,让脱库事件频频发生,从前年的数据库泄漏事件,繁衍出了社工库这么一强大的玩意儿。从之前的比较出名上CCAV的365社工库到后来的数据芯。让人们不得不重视网站的安全和隐私的保护还有密码的安全性。咳咳,今天要说的不是这个,而的讲“黑吃黑”。社工库也有?其实呢,据我了解,还是有一些缺德的黑阔这么做过。我曾经在一些论坛,Q群,微博看过一些黑阔说要搭建社工库,希望能主动提供社工库什么的,并且以邀请码作为回报。试问一下,这些社工库又有几个是真正坚持了几个月。

大部分都是开了不到一个月或者一两星期就关闭了。然后用各种借口,比如被查水表啊,不玩黑了,网站被DDOS之类神马的。 由此看来,只需要一个域名的价钱,和一个免费空间等,就能换回来一些值钱的数据库了。

2.webshell

现在入侵网站唯一当然少不了webshell脚本木马,webshell留后门已经是见怪不怪了。当你乐滋滋的拿shell时,螳螂捕蝉黄雀在后,webshell就发送到留后门的箱子去。我看过不少长期稳定出售shell的黑阔。

其中还是有这么几位发过几款webshell。有没有后门你知我知。一个webshel的价值我以前发过的一个帖子大概有说过。如果有一天,你入侵了一些政府或者教育的网站,又或者是一些知名的网站。然后上传webshell。该webshell有后门,webshell作者把这个webshell卖给博彩或者其他做黑帽SEO的人。甚至挂马。那么网警根据服务器日记找到了你上传webshell的痕迹。是先找到你还是先找到webshell作者就估计有点悬了。运气不好,你可能会当个替死鬼把。

3.xss平台

@xsser 的xssme开源了,之前的xssing也开源了。网络上出现了多多少少的一些xss平台。但有些人搭建才不会白白给你用,有些人会用提交漏洞换取邀请码,又或者是其他什么的。前几天我的一基友在某xss平台看到了这么一奇怪的现象。该平台有记录登陆IP的功能。他看到最近除了他,还有两个异地的IP在他不可能使用电脑的时间段登陆过该平台。然后他好奇翻了翻以前的记录,发现创建帐号没多久这个IP就登陆过几次了,但登陆次数并不频繁。偶尔登陆一下。在这里笔者可否大胆的假设一下。之前不是有个xss平台的裤子泄漏了么。是md5加密的。直接丢cmd5能跑出好多密码。如果,某平台的管理员监守自盗,可否登陆该xss平台下任意用户来查看项目之类的。比如说,某A是xss平台管理员,某B是该平台下一名用户。他在微博发表了一个博文,说是某大型网站的存储型xss漏洞。然后某A看到了,通过导出该用户密码,然后登陆进去后,查看已经窃取到的cookie。当然只是假设,行不行我也不知道。

4.各种黑客软件游戏辅助

在天朝内,属于脚本小子的黑阔应该不少把。开黑客软件关闭杀毒软件这是大多数黑阔或者黑客的习惯把?如果其中有后门,也是防不胜防的。成为肉鸡,或者被盗号。又或者被报复格盘。游戏辅助也差不多把。被盗号的经历我也试过·······

欢迎各种补充···················

以上纯属按照写小说的思路来娱乐下。如有雷同,纯属巧合。请勿对号入座

世界上真的没有免费的午餐啊,看你敢不敢吃了!

[原文地址]

相关讨论:

1#

斯文的鸡蛋 (顿时我就傻逼了) | 2013-07-14 19:41

以上基本不中枪~

2#

冷静 (有人说签名要长才有人看。。。。。。。。。。。。。。。。。。。。。。。。。。。。) | 2013-07-14 19:44

长姿势了

3#

Seraph (看我资料做什么,准备暗算我?) | 2013-07-14 19:46

长姿势了

4#

无敌L.t.H (:?门安天京北爱我) | 2013-07-14 19:47

一切都不在我的电脑做

5#

momo | 2013-07-14 20:42

敢吃。

6#

Ivan | 2013-07-14 20:54

菜刀没后门吧……

7#

请叫我大神 | 2013-07-14 20:57

现在是shell不看一遍,不敢用啊

8#

Ivan | 2013-07-14 21:08

网上搜了一篇 菜刀通信加密分析 http://www.2cto.com/Article/201108/99251.html

9#

神倦懒言 (www.3g-sec.com) | 2013-07-14 22:27

总结的很好 感谢分享


最新回复 (0)
返回
发新帖