正文【黑色世界】第五百五十一章 漏洞百出(上)
漏洞往往都掌握在駭客的手中,這句話說的一點沒錯,駭客現在是一個中性詞,以前人們還會區分駭客跟駭客,現在乾脆把兩者結合到了一起。
微軟為什麼每週都要釋出一個漏洞補丁,那是因為系統漏洞太多了,而漏洞大多數都是駭客發現的,以前那個漏洞交易平臺已經不復存在了,微軟對外宣稱找出系統漏洞的,給予獎勵,其實這就是變著法子從駭客的手裡購買漏洞,買回來修復,再製作漏洞補丁。只是說得比較好聽而已。
鮑裡克必須在這一環節打起十二分精神,上一次大會上一共釋出了12個系統漏洞,個個都是五星危害漏洞,不知道今年會不會再這麼多,他也只能在心裡祈禱了。
“大家好,我是開源社群的總版主,傑克!”一名金髮碧眼的男子走上了臺上。
“網際網路高速發展的今天,我們開源社群迎來了新的活力,我們需要各位程式愛好者加入,分享自己的程式原始碼,好了,我不想在多說那麼多的話,今天我代表我們社群和Linux基金會免費放出最新的Linux版本,版本號為Linux 2.6 C0484。”傑克說道。
“補丁也在稍後會在我們社群和Linux基金會的網站開放下載。”傑克補充道。
作為世界上開源系統的老大,Linux一直都很低調,世界各地的Linux愛好者都期待更新,終於,等待了整整2年以後,終於有新版本了,而且與以往一樣,依舊開源,免費!。
這一環節是面向大眾的,所以這一環節的報道也就特別精彩了,漏洞也會透過官網報道向全世界公佈,會上的發言內容也會是透明的。
Linux更新了新版本的訊息很快就透過了網際網路傳播到了世界各地,一大堆的Linux迷都非常期待了。
“Linux終於更新了,奶奶的我還以為他們不更新了呢。”清風說道。
“清風,你什麼時候玩Linux的,我們怎麼不知道?”細水長流問道。
“早都開始了,你們不知道而已。嘿嘿。”清風的語氣中帶著一絲神秘。
傑克說完了以後,直接介紹了Linux新版本的功能,畢竟官方的系統才是準則,但是Linux暫時還不能與獵豹BH相提並論。
傑克介紹完了以後,便下去了,接下來上場的是高克斯,他要幹什麼?
“大家好,我是高克斯,也是本次大會的專案設計總監,下面我為大家演示一下,‘如何讓ATM機自動吐錢’!這個巨大的漏洞,我已經提交給了世界銀行,相信大多數已經修復了,本次只做演示!”高克斯笑了笑,隨後拍了拍手。
這個時候臺上中間位置升起了一臺ATM存取款機器。
“感謝花旗銀行提供的ATM機器!”高克斯說道。
場上眾人都驚呆了,黃非也不禁來了興趣,據他所知。ATM機器有5個漏洞可以利用,讓其自動吐錢,會不會與黃非所想的一樣呢?
“我的媽呀,ATM機器吐錢呀!”在劍盟聊天室,各大論壇各大網站第一時間釋出了這條訊息。
這個也激起了網民們的興趣,說到錢,很多人興趣也來了,而且讓ATM機自動吐錢,想想都激動呀,要是真的有這樣的本事,那就發財了,很多人都懷著這樣僥倖心裡,都迫不及待了。
高克斯把官方的電腦連線上了另一臺電腦上,然後他從懷裡拿出了一個光碟,對著大家說道:“這是銀行的ATM控制程序,機器的一切操作都是由此程序控制的,感謝花旗銀行提供光碟!我現在要在這臺連線了ATM機器的電腦上安裝ATM Server!”高克斯說道。
隨後,高克斯放入了光碟,然後開啟了光碟的磁碟機代號以後,直接安裝了程式,不一會兒,程序安裝完畢了,電腦上顯示了發現了新硬體,正在載入可用驅動程序,驅動還是得在光碟上安裝,把驅動安裝好以後,ATM Server就這樣搭建好了。
執行一下安裝好的軟體,ATM機的螢幕這個時候亮了,電腦上執行的那個軟體介面完全和ATM機器的介面是一樣的,只不過電腦不可以觸屏。
“電腦是一個載體,我們現在安裝好程式了,現在我要為ATM機分配一個IP地址,與一般的IP地址不同,這個IP地址必須使用國家網際網路資訊部分配給銀行的IP,這是根據國家代號(我們中國代號是86)開頭的IP,是絕對安全的!當然,再次感謝花旗銀行提供。”高克斯說道。
【穩定運行多年的小說app,媲美老版追書神器,老書蟲都在用的換源App,huanyuanapp.org】
接下來就是最引人矚目的時刻了,電腦上顯示IP已經是對號段了,也就是這臺電腦處於M國內網,不會對外開放,內網IP外部訪問不了。
高克斯從衣兜裡面拿出了一捆錢,然後笑著對大家說道:“這是1萬美金,大家都知道的,當然,這並不是花旗銀行提供的,是我自己的!”高克斯幽默的言語讓大家都笑了出聲,他真的不是以前那個沉默寡言的高克斯了,他真的變了。梅卡看著高克斯那燦爛的笑臉,感到很欣慰。
高克斯把1萬美元按照往常的大家的操作,插入了信用卡,分兩次存入了銀行,畢竟IP是內網的,連線的是銀行的總資料庫,所以高克斯這一次存款也算。
“哈哈,錢已經存進去了,準備工作已經完畢了,接下來我的演示就要開始了!”高克斯笑道,在場的眾人已經激動萬分了。
高克斯走到了官方準備的另一臺電腦之中,“大家看好了,千萬不要眨眼睛,精彩現在開始!可以不用去ATM機裡面插入信用卡,跳過驗證,直接讓它‘吐錢’!”高克斯說完後,開始移動滑鼠了。
只見高克斯首先開啟了命令提示符,輸入了一個非常常用的命令,Ping命令,Ping的就是ATM機器所連線的那臺電腦的IP,當大家看到結果顯示返回資料失敗的時候,那也就是說明這個IP地址不存在。
高克斯之所以演示這個的目的無非就是想說明那個IP是Ping不到的,只見他執行了瀏覽器,輸入了IP地址,顯示頁面不存在,但是當他點選檢視,檢視源的時候,竟然發現了有內容。
短短的幾行程式碼,細心的人都看出來了,在一行後面,多出了一個數字,6840,駭客對於數字是敏感的,既然有漏洞,那就嘗試一下,6840首先想到的就是埠,往IP地址後面加一個引號加上6840,再次訪問一下,竟然頁面變成了404錯誤了,也就是說,這個地址是有原始碼的,“大家看到了這個是不是想到了什麼,那麼我們更進一步!”高克斯按照原來的步驟,再一次檢視了原始碼,這一次不僅發現了新的端口號,還不止一個。
高克斯再次輸入第一個端口號,發現顯示不出任何東西,接下來第二個,也不行,第三個,一個個地測試,最終試到第六個的時候,終於再一次發現了可以利用的頁面了。
又再用同樣的步驟檢視原始碼,這一次什麼都看不到,就在大家以為沒有任何規律可循的時候,高克斯開啟了一個SQL注入工具,有了工具肯定比手工輸入一個個程式碼快捷地多了,只見高克斯輸入了地址,加上埠,點選了注入,第一次,無響應,第二次,依舊無響應,第三次…第四次……還是無響應,這讓大家認為高克斯是否搞得掂了。
高克斯從工具那裡直接複製了一行程式碼,加入了網址的後面,測試結果是無響應,“大家是不是很奇怪?為什麼每次都會無響應呢?”高克斯說道。
會場上議論紛紛,高克斯繼續補充道:“ATM機顧名思義是用來存取款的,存款以後就有後臺資料了,如果,我在這段程式碼的後面加一個整數呢?結果會怎麼樣?”高克斯越說越平靜,會場上的人都沉默了。
只見高克斯直接往注入程式碼裡輸入了一個整數,比如反饋為等式,加入了=%1000,高克斯輕輕地按下了回車鍵,接下來奇蹟發生了,只見ATM機的螢幕沒有任何反應,但是出鈔口卻有反應了,一張張地美金從出鈔口吐出來,會場上的氣氛一下子到了最**,很多人都發出了驚嘆聲。
“讓再多一點吧!”高克斯輸入了“=%9000”,因為他之前已經吐掉1000了,存款10000美金只剩下9000美金,隨著回車鍵一按,100元面值的美元源源不斷地從出鈔口吐出。
“我的上帝,太厲害了!”連艾薇兒也不禁發出了驚訝之聲。
而黃非一臉平靜地坐著,高克斯用的漏洞果然與他所想一樣,利用ATM控制端過濾不嚴謹,內網IP的分配不均勻,導致了致命的漏洞,不止M國這個地區的ATM提款機,這個漏洞秒殺世界各地的ATM機,如果放出去的話危害非常大,但是高克斯是早都發現了的,並且通知了世界銀行機構,而且具體的一些關鍵步驟他省略了,所以並不用擔心造成重大的危害。