BL小说网

手机浏览器扫描二维码访问

第七章 活生生的黑客活生生的入侵下（第1页）

“拿下论坛，并不是我们的终极目标，我们是要靠着这个论坛管理员的身份，拿下这台服务器，大家有没有什么想法？”cobra很是善于利用发问来调动大家的积极姓。

很多人连之前的演示都没看明白呢，现在哪能提出什么意见，要是会入侵，大家也就不用来这里听报告会了。

“论坛有个功能，叫做上传，可以上传一些图片之类的附件到论坛上去，这个大家肯定知道吧！”cobra笑着，“我们要利用的就是这一点！现在大家看看来管理员的界面，发现没有？管理员是可以设置上传附件的类型和大小的，我手上有个后门程序，格式是exe类型的，那么我就把exe文件设置为可以上传。”

cobra设置成功，打开发新帖的界面，把一个exe文件上传到论坛去了，也就是说，他把一个后门程序放到了那台网站服务器的硬盘里了。

“后门程序放上去了，现在我们只要知道这个后门程序在对方服务器上的具体位置，就可以利用数据库的权限，或者是其他手段来运行它！”cobra没有解释要用什么手段来确认这个后门程序的具体位置，而是直接用自己的方法运行了它。

胡一飞的水平有限的很，这步他没看明白，不过，cobra能在自己的电脑上让另外一台电脑运行指定的程序，这本身就很厉害了。

cobra打开后门的连接程序，输入那台服务器的ip地址后，很快就得到了一个黑乎乎的窗口，没有图像显示，但可以输入各种命令。cobra输入一个最简单的dos命令，是用来显示自身ip地址的命令。

显示出来的ip地址跟那台服务器的地址是一致的，这就证明，cobra已经进入了那台服务器，并且拿到了很大的权限。

cobra又输入了几个命令，把显示出来的结果，和自己电脑上的情况做了对比，确认这是两台不一样电脑上的内容。当然，cobra还有更直接一点的方法，他直接敲入命令，让那台服务器直接重启，很快，后门程序就失去了连接，再输入刚才bbs的链接，也提示无法找到服务器。现场的人虽然不懂黑客，但也知道cobra确实是入侵成功了。

“就因为架设在服务器上论坛程序上的一个小小bug，便导致了整台服务器被人控制，现在我们再回过头，来看看这到底是个多大的漏洞！”cobra笑呵呵地看着会场的人，拿起杯子，慢慢地喝着水，足足有两分钟，cobra才放下杯子，“我们看看那台服务器重启结束没有！”

胡一飞恍然大悟，心说cobra喝这么久的水，原来是在等那台服务器重启完毕啊，怪不得，胡一飞刚才还以为cobra这人有什么慢姓子的毛病呢。

cobra重新输入论坛的网址，这次论坛又显示出来了，看来服务器又正常工作了，“我们报告会的主题是网络安全，刚才的入侵，只是为了告诉大家安全有多么的重要。怎样能让自己的电脑绝对安全，这才是我要讲的重点。可能现场的很多同学都会有些疑问，说看你刚才的入侵，好像也不太麻烦，那防范入侵会不会也很简单呢？”

cobra笑着，“其实这样的想法一点都没错，安全比入侵要简单得多，安全在于平时的一点一滴，这些都是可以养成习惯来做到的；而入侵却需要极不寻常的灵感，以及成千上万次的试验，这不是每个人都能做到的。”

似乎是怕众人不相信，cobra重新又演示了一下1=1和1=2的问题，网页和刚才的显示一样，一次正常显示，一次提示错误。“现在，就请大家看看我是怎么来修复这个漏洞的！”

cobra再次用后门联接到那台服务器，找到论坛程序的源代码文件，打开了，却只修改了一句，现场的人看得很清楚，他就是往里面添加了几个字符。但奇迹就发生了，cobra保存了论坛的代码文件后，他重新再打开论坛，这次不管是1=1，还是1=2，网页统统都显示正常了。

“网页全都显示正常，你还能得到什么信息呢？”cobra笑着问大家。

胡一飞的下巴都掉了下来，不会吧，就这几个字符，漏洞就瞬间消失了，这下入侵的人就要傻眼了，别说是admin，你就是问管理员的账号是不是“白痴”“弱智”“狗屎”，网页同样都会显示正常。

“当然，我还可以这样修改！”cobra又打开那个源文件，删掉刚才添加进入的字符，往下顺了几行代码，往那里插进了一个符号。这次更神奇，等他保存好，再去进行sql注入，不管是1=1，还是1=2，网页全都提示错误，只有输入正确的网址，不在网址后面添加任何多余的语句，网页才会正常显示。

“大家看到了吧，安全不安全，就在于你多写或少写几个字符而已！”cobra露出笑容，“所以，我们才经常说：安全与不安全之间，只隔了一个字母！”

会场内掌声雷鸣，cobra的精彩表演让大家很是折服。

按照原来的安排，cobra本来还要表演溢出攻击的防范，结果现场的人情绪都被调动了起来，仅在这个sql注入上，就提了很多问题。

cobra旁边坐着的胖子，笑得嘴巴都合不拢了，现场的效果比预计的要好了很多，看看差不多了，他就站起来，打断了现场的提问，“因为报告会的时间有限呢，这个提问环节就算是结束了，接下来，由我为大家来介绍一下网络安全这个产业目前的情况，以及前景预测！”

“先作个自我介绍，我是华锋网络安全科技有限公司的总经理，我叫严锋！”胖子笑眯眯对全场鞠躬，“我勉强算是个业内人士，但给大家来做这个报告，心里还是有点忐忑，就算是我的一点粗浅见解吧，拿出来跟大家一起交流一下，要是大家有什么不同的想法，可以提出来。”

胖子嘴上很谦虚，可接下来却着实不客气，他把网络安全的发展前景吹成了一朵花，毫无例外，又是那套“巨大的市场需求，与从业人员的严重不足，形成一个庞大的人才缺口”的老套说辞，他还拿出了不知道怎么统计上来的数据，把现场的学生忽悠得一愣愣的。最后，胖子还打了比喻，说做安全的，就好比是做医生，专门给网络看病、给电脑看病，从古到今，医生就是个从不失业的职业。

目前就业压力这么大，尤其是学计算机的，毕业之后想进入挨踢行业，可真叫个难，现在想挨踢的人实在是太多了，一个刚毕业的大学生根本就排不上号。如何找份安定可靠的工作，是刚一进入大学大家就开始考虑的头等大事，所以胖子的这话让会场不少学生就有些意动，有人开始问道：“那如果我们要是想进入这行的话，都需要学点什么？”

胖子等的就是这句话，可还是故作矜持地咳了咳，才道：“目前来说，市场上关于的网络安全工程师的认证有很多家，比如思科的，比如issp，有我们自己的认证，也有外国的认证，培训价格都不菲，但真正专业的培训机构，却是不多见。很多培训机构都是打着幌子把人招进去，但代课的老师却根本都没有从事过安全行业，试问这又怎么能培养出合格的安全工程师呢，所以，我们就看到了一个很奇怪的现象，一方面是培训机构培养了大量的网络安全工程师，一方面是网络安全公司不得不自己去寻找人才，然后采取老带新的做法，建立自己的人才储备体系。”

“我们华锋也有这方面的苦恼，后来干脆我们就自己搞了一期网络安全工程师培训，结果效果意想不到地好，那期的学员，除了有两个留在我们华锋工作外，其余的都被聘请一空，有专业的网络安全公司，也有证券、银行、电子商务方面的企业，他们也需要大量的网络安全专业人士。”

底下的人见胖子半天谈不到正题，便有些急了，直接问道：“那你们公司的培训还搞不搞？”