笔趣书阁 - 都市小说 - 究极电脑在线阅读 - 第七章在狗网站挂狗旗

第七章在狗网站挂狗旗

    秦木没有直接的去侦测这个网站的任何数据,而是不断正常的尝试着各种cao作。比如看到最明显位置图片,用鼠标放上去看看显示出来什么效果,又或者是直接点进去看看连接到哪里。

    这个政府网站,看上去很大气而庞大,但秦木一番尝试过去之后发现其实只是虚有其表而已。。。

    其实想想也是的,作为一个国家政府网站外表肯定是十分重要的,这在一定程度上可以说代表着这个国家给其他国家人的第一印象。但是相比之下安全却是显得更加的重要,不说这网站里面会放些什么重要资料,但即使没有任何重要资料被人家黑了也不是什么光彩的事情。

    秦木一番cao作发现这个事实以后,决定还是采用那种最熟悉的cao作——数据库注入技术。

    按理说这么正式的网站这方面的漏洞可以说几乎没有,但是秦木却不这么认为。因为在秦木尝试着各种正常浏览网站cao作时候,仅仅发现了一个可供动态写入数据的入口。就在最上面那张图片下面,一个简单的TXTBOX也就是文本输入框,旁边还有一个确认按钮,看样子这个可供数据输入的地方仅仅是提供站内搜索功能而已。到不像是能真正写入数据库什么东西,只是看着像写入,但是却仅仅有着查询功能而已。正常状况下可能这个地方还真的不能写入任何东西吗,因为这东西数据库仅仅记录到缓存当中,当下一条数据来临时候就会自动的删除掉,这也是缓存中排队的原理,后面能挤掉前面。毕竟是缓存吗,临时的落脚地而已。可今天是什么日子?斩首行动啊!对着网站肯定会有无数的人正在扫描端口,检测IP伪装数据包来攻击。这样一来就会给服务器相当大的压力,缓存就不用说了,这个时间段里面不是爆满的情况几乎为零。这样一来服务器可能采用另外一种机制,就是不经缓存直接到数据库中进行关键字比配,对比!这也就是说如果出现这种缓存爆满的情况,那么数据库就变的可写了!既然可写了那还能有什么做不到呢!机会有了,这时候就看看你的技术了。。。

    秦木首先还是打开了自己编写的一款数据检测工具,时时的扫描这个服务器的数据流动情况。然后把这个工具界面拉下了一点,同时网页也拉小了一点。这个时候秦木开始在开始那个网页里随便输入了一些英文字母,有自己这些外部数据输入服务器肯定有响应。

    但秦木此时却有些头大了起来,光顾着向着关键问题,有些事情考虑的还不是很周到。现在看着自己工具上飞快刷过的数据,别说能分清那个是自己的,就连任何数据都是一闪而过,人太多了。不过虽然有些头大,但是秦木也高兴了起来,这么说自己那个想法肯定是可行的了!!但是怎么解决掉这个找到自己准确输入字段的问题呢?

    不过转念之间秦木就出现了一个想法,看了看时间还早,刚过去半个小时而已,离三个小时还有很长时间。秦木决定把自己这个工具改写一下,让它只显示特定的数据字段,其余的都一概不予接受显示。因为工具原来就是秦木自己写的,这个工作仅仅花了秦木半个小时时间。

    工具功能改写完成后,秦木开始正式的捕捉数据工作,很快秦木随便输入不规律但是自己记得内容,在自己这款看起来很粗糙的工具上显示出来,既然能够获得数据了秦木心里就有了数。

    现在不同往日了,秦木现在所面临的这台服务器正在承受的非常大的压了,说他是遭受非人虐待也是准确无疑。秦木此刻所输入的数据,完全已经不经过缓存的停留了,直接的就会通过数据库查询,这样在秦木的网页上看到的情况就是:只要已输入内容,结果就立马的出现。现在查询内容竟然比以往还快了,当然这点秦木感受不是很深。

    这些乱七八糟的鸟文字秦木当然不认识,自己随便输入的那些字段也知道肯定这个服务器数据库中不存在,对于搜索出零结果也是丝毫不感到意外。但是秦木这一番尝试之后又一个新的想法涌上心头:如果是这个样子,那么自己能够篡改的东西就多了!想到这可能出乎自己意料之外的结果秦木激动起来

    现在经秦木的工具上显示的数据比较少了,大部分都是他输入的数据和返回的数据。秦木这次输了一段英文‘IamadogservingforMstate?’意思就是我是一条为M国服务的狗吗?这条数据输入进去之后这回秦木准备实施自己的想法了,这个数据返回到页面上显然是不存在的,当然那些鸟文字秦木不懂但看多了一样明白大概的意思。而这时候秦木把这个返回数据包截获了下来伪装一番用数据库语言表示为存在项,而这么做为什么呢?下一步秦木做的是依然在页面上输入那条搜索的内同,这回秦木把伪装的数据包准备好了,待那数据返回的时候把这个伪装的数据包夹带进去,原来的数据包肯定是删除不掉的,计算机工作原理就是一一映射的改不了。但是即使这样还是有所改变,就是这回返回到页面的结果变了,如果秦木懂得H文的话,那么一定会感觉很奇怪。因为一共显示出两条结果,一条就是‘查无结果’,另一条就是‘yesyouare,100%dog’,两条矛盾的存在!!这也是秦木添加数据包时候所为。

    成了!呵呵!秦木此时略微的松了口气,不过离的他计划的还很遥远。这仅仅是别人搜所采可能出现的结果,而且还要是自己手动添加才行。

    但这并难不倒秦木,只要自己反向把数据写入进去之后,至少这条结果就将发生变化,但是此时秦木要做的是将最上面的那张图片换掉!!!

    正是秦木的这个顺藤摸瓜行为在这个新成立的灭HMR黑客联盟中造成了很大的争议,也使他这个代号大大出名了,但这都是这次行动中的后话了。。。

    接下来秦木做的就是反向数据库注入了,这点在发现这个可以说惊天BUG之后可以说变的很现实了。秦木这回没有在像那个文本框中输入任何词语来进行搜索,而是找到了那个‘伪真’现实的结果,这个结果虽然是假的,但是此时在页面上显示也是说明被系统‘承认‘了!当然是秦木这个伪装的‘人工系统’,但是话说回来,在页面上显示的东西如果存在数据话就一定会在返回给系统,这时候就算系统里不存在也不得不承认!而且这时候既然不存在,系统数据库只能调用一种BULL显示,就是空命令!而这个空命令存在以后,输入任何数据就将被认为是真的数据,因为空数据和任何数据都有交集!因为这个交集还是空!也就是说还是这个本身,那么就无可否认的是真命题!系统就一定会承认了!学过数学里的交集并集的朋友们肯定知道这一点,但就算是没学过看到这也是一目了然了。

    秦木找到了那条结果,然后点击上了那个自动生成的链接,此时便有一条数据向着数据库返回,而这时候秦木就在不停的刷新页面,看看这么做会不会因为改动数据库而使得网站挂掉!

    很幸运,网站也很稳定,并没用因为出现的这一点看似的小BUG而挂掉!

    既然数据库中都有这么任意自己读写的命令了,那还犹豫什么!

    接下来秦木毫不犹豫的,制作了几个篡改网页上这个不起眼文本框和按钮功能的数据包,然后用这个原理传到数据库,等待刷新了一会,秦木再次尝试着点击那个文本框的时候果然变成选择图片地址的功能了!!而那按钮同样变成确认上传图片了!至于上传到哪里秦木也不清楚,不过秦木估摸着应该大部分图片都会被掩盖掉,因为这个BULL看起来是个空命令,但现在却是个万能的命令!怎么做他都承认!但有些难以预料的冲突还是会有的,这个就天知道了

    秦木出去下载了几张图片放到桌子上,果然会显示到那个文本框中,但是秦木没有选择确认。。。这图片得好好选择。。。

    忽然秦木灵机一动,堡垒从内部不是从来都是最容易攻破的吗!相比自己那么做的实际的效果,包括自己在内的联盟名声就不那么重要了。。。

    秦木再一次上网下载了一张膏药贴在白布上的国旗,传了上去。。。

    “两条狗似乎从来都想向着自己的主人摇尾乞怜,互相争宠!那就狗咬狗吧!希望你们不会是一嘴毛,而是一嘴血!”秦木暗暗的想道