我是一个黑客
===========================================
作者:无名
CHM:sword(cnse8.com )
----------------------
2、我攻破了美军海军网站(1)
就是那个叫caption tom的管理员成了我的目标。他只是那个bbs的管理员,大家都上网的人,应该知道bbs的管理员不一定是负责技术的。通常是bbs的主题方面的能人,比如这个bbs是唱歌的,他的管理员可能就是一个唱歌的高手。我现在也没有搞清楚那个caption tom是个负责什么的管理员,我只是关心他的密码,和他的上传权限。现在看来,他肯定不是搞技术的,否则就不会这么不小心,让我钻了空子。说起来,我还真是有点卑鄙,实在对不起他。呵呵,没办法,谁叫我是“黑客”呢,为了攻破这个网站必须要不择手段.让那些把“黑客”描写成用他妈的手机都可以攻入人家军方网站的“SB”导演们见鬼去吧,黑客是人,不是玩魔术!
有了目标,我开始有了精神,这种精神绝对可以几天几夜不吃饭的那种。首先,我看到了那个caption tom的登陆名字,就是caption tom,因为我登陆的时候我会就用的我显示在bbs上的名字。呵呵,看来这个设计者可能觉得这个bbs的管理员对系统安全不会有大的什么影响,所以没有在意。但是对我来说,我实际上获得了他的登陆名字。要是我设计bbs的话,我的管理员帐号绝对不会用论坛中大家都能看到的名字。至少可以给想破译的密码的人多一道障碍!但是现在几乎所有的bbs的管理员帐号都是用的在论坛中的登陆名字。呵呵,这个老美的bbs也不例外,大家谁抄的谁的都还不知道呢?所以,所有的bbs的程序都能找到相同的地方。现在当然要搞到密码了,首先就现test一下,那个密码加’ or 1=1之类的方法吧,希望那个bbs的设计者不是一个菜鸟。设计美国最大的海军网站的人当然不是菜鸟,所以当我测试的时候,得到的都是密码错误的提示。这个方法行不通了。我没有失望,有什么失望的?如果指望这么几下就想黑别人的网站,那还叫黑客吗?那不和刚才那个“牛人”差不多了。呵呵。然后看了下他登陆界面的的网页的源代码,把他登陆的提交语句剔除出来。他用的是post方式。如果他没有限定登陆次数的话,我基本上就可以宣布他死刑了。因为密码在8位以下,按照我现在的10m带宽的网络速度和我的AMD1600+的机器,用不了2天,就能破译出来。什么,你用的是10m和AMD1600+,太不专业了吧?呵呵,我看你才是电影看多了。你以为黑客们都是像电影里面一样用的是10几个显示器的计算机,用的都是你想多快就多块的网络?别看我的网络号称10m带宽,连到美国那个网站,能有1m的带宽我都很满意了。事实上我现在连接的速度还不到1m。现在看看是否限定登陆次数。我知道,一般的bbs的不会限定登陆次数的。为什么?不是设计者不懂,而是为了防止帐号锁死。你想呀,在bbs上每天有好多人要拿管理员的帐号来作试验?如果遇到3次不对,就锁死他,那管理员还作不作事情了?每天管理员都必须给系统管理员发email,叫他给他解除帐号锁定,一次还可以,2次也没问题,如果有个10次,100次,甚至上千次,系统管理员不自杀才怪!但是作这个bbs的人肯定考虑过这个问题。这是我后来攻破之后才发现的。他没有锁定帐号,而是你连续输入3次以内,密码正确,就表示你是正确人,让你进入,如果超过3次,就不让你进入,即使你输入正确的密码。也不行,就给你一条提示“invaild password!"无效密码!帐号也没有锁定。这一招其实很简单,很多人都能想的出,但是对我们密码破译者的人来说,确实是个麻烦事情。不过没关系,这些招数我早有对付技术,我调出我自己写的程序,一个专门试探网页密码的工具。用delphi写的。呵呵,别笑,不是我不会用汇编或者c写。而是,没有必要。那些用工具还衡量一个人的水平的人其实就是菜鸟。用delphi几个小时就搞定的事情,用汇编或者c要用几天一周才能做完,效果都一样。我不用delphi那才是真的有病!界面很简单,一个地址框,一个密码字典导入框。先使用我现有的字典开始测试。为了防止对方的3次限定。我的程序每try 2次,就自动修改一下ip地址。我有一个c类地址,可以随便换。幸好对方没有按照c类地址来验证。否则,我就真的没办法了。
很多人以为自己的地址想换成什么就什么,其实那是不对的。你想呀,你换的ip地址,如果不是在你的子网内部,对方发回的数据也无法到达你的网络。你说你写信的时候自己明明在北京,偏要留个上海的地址,对方按照这个地址给你回信的时候你能收到吗?别听那些sb导演乱说!字典10分钟就扫完了,看来对方这个caption tom还不是一个菜鸟,至少他的密码我的字典里面都没有。唉,看来省事的办法没有了。只好使用”穷举大法"了。别看不起这个世界上最笨的方法,这个方法在没有办法的时候就是最好的办法。大家都明白,但是谁也防不了这个方法。除非你的程序不给人用。通过前面的分析,感觉这个网站的人都不会是菜鸟,因此,密码就从6位开始分析吧。事实证明这个直觉是正确的。我也不知道为什么,我就觉得他的密码肯定在6位以上。很快生成了我的穷举密码字典。有60多M,瞒大的。
开动机器,开始自动分析,屏幕上开始跳动一个一个的数字,周围一片寂静,静的能听见我的心跳。我一点都不急,根据我的经验,我的amd1600+看来注定要连续工作1天一夜以上了。。。。。。。让他跳吧。我走到客厅,打开电视,现在已经是晚上10点钟了。
对不起,让大家失望了。一个号称黑客的人,并没有在1分钟之内就就神奇的输入正确的密码,并作一个成功状,来展示我的风采。看看电视吧,打开电视,看看我们那些弱智电视台有没有好看一点的节目。唉,真是哪壶不开提哪壶,生活真是充满了戏剧性。你爱信不信。当时转的一个台,正好在放一个电视连续剧,而且正好放到一个人请一个黑客来进入人家的财务系统,窃取资料。当时那个黑客来了,很自信的样子,一看就知道,他肯定在几分钟内就能攻入人家系统的那种感觉。若然不出所料,之间他的手指在键盘上上下翻飞,不过一看就知道是一个从来没有摸过计算机的人,因为,一看就知道他只知道动手指,但是手指敲到键盘没有,什么键用什么手指,他是一点不管。就是一个两个字”乱敲“,我当时就乐了。哈哈哈。然后就更牛了,一个要求登陆的窗口出来了,要求输入密码,之间这位”高手“眉头紧皱,汗水直流,看来确实很花力气。然后,3分钟之后,谁着屏幕上一个MM的声音:“恭喜您,你的密码正确,可以进入”,然后那个高手就作狂欢和不屑状,旁边那个人就作惊喜状和佩服状。我当时就笑到在沙发上了。哈哈哈。。。。。我只想对那些不懂电脑的观众说,那位不是黑客,他绝对是个算命的。他应该去算体育彩票,体育彩票才7位嘛,对他来说1个钟头就能算出来。我靠!我靠了又靠!
顺便给那些以后要拍电影的朋友说一句(现在那些拍电影电视的就不说了,说了也没用),你们不懂千万不要装懂。多的钱都花了,到随便哪个大学找一个学计算机专业的学生作你的顾问,能花几个钱?给个几百快钱,人家还不乐的屁颠屁颠的?保证让你不犯这么常识性的错误。我发现我们国内的导演都是觉得自己最牛,明明不懂计算机吧,你承认乐又有谁会说你降格了?不懂就找个懂的人嘛!老外人家就作的不错,你看人家拍侏罗纪的时候,那些模型设计师都是工业界有名的自动化控制专业人士。可以说是技术人员的集合。你看人家那效果。
----------------------