当你获得一份webshell后,你会干嘛? 我曾获得N多webshell。什么discuz、dedecms、phpwind、phpweb、aspcms等等,甚至还包括N多自己研发的线上平台。 可是,问题来了,那么我能干嘛呢? 很多人对“hacker”的理解就是:攻破某某大型平台、攻破XX计算机,黑首页、格盘、数据泄露、等等,想想就可怕 当一家公司的数据出现在网络交易市场,这家公司会不会面临破产的风险?当某某计算机被攻破,会不会出现艳照门?或者网银被盗? 那么这些,就仅仅取决于攻击者的素质了。 很久以前,有一位网友给我发了一个网站,说自己在网上博彩被骗了。给我带了一个网址 当我打开这个网址,瞬间知道了这个网站的一些情况,站长是一位90后大学生,依靠博彩平台赚钱。 通过社会工程学信息收集得知,这个人依靠这个博彩平台撑起其家庭与学业,至于说具体细节,我不多说。 当时,我对这个博彩平台挺有兴趣的。于是抱着尝试的心态做了一些常规的安全测试 一周左右的时间,我的xssapp平台收到一封邮件,事实证明我成功获得后台权限。 可是,那时候我通过社会工程学早已了解到这名大学生的具体情况,我真的可以对他的网站进行破坏么 答案是否定的。 其实网络世界就是一个大自然,大自然有自己的规律,适者生存法则永远存在。 我删掉了xss的信封,但是好奇心让我进了人家的后台,我知道,这个博彩平台有很多水分。我抱着尝试的心态,获得了webshell。是net语言编写的程序。我成功获得了数据库、服务器权限。 我知道,这个网站是非法的,按照我历来的作风,碰到非法的网站,一定要加以处理。 格盘?摧毁系统?删掉数据库? nonono。可是我什么都没做。因为站长的一些事迹感动了我。 我默默的退出了服务器。在D盘留下一个记事本,告诫站长,这样做事不对的。 一周之后,我发现那个网站还没有关闭,并且我的权限依旧还在。 揣摩了一下站长的心态,其实要删除我的后门,随便来个防火墙的扫描就行,然而我的权限依旧还在,那么、。。 这是一种信任,或者说站长本身也良心不安 我看到D盘站长给我留下的回复,我默默的想了半个多小时。 其实人之所图,到底是什么。 于是我留了一句话,如果站长半个月之内再不停止博彩业务,我将通过法律渠道揭发其非法罪行。 半个月过去了,站长的网站果然关了。 站长加了我的QQ。我们也经常聊聊人生。 我大概了解到,停止业务对站长的打击很大,几乎断了其资金来源。 那时候我很惭愧,因为站长家里的一些事情。我自愧不如。 大概一个月后,那名站长在网上开了一家网店,开始以为别人搭建官方网站为盈利途径。 事情就这样结束了。 记得很久以前,有一位网友问我。如果我能拿到那个权限。给我3W人民币。 可是,人民币真的重要么? 答案是必然的,人民币可以让我改变当前寄人篱下的现状。 但是有一点我做不到,我做不到问心无愧,我会惭愧一辈子。 问心无愧,懂么? 问题来了,当一名黑客获得你的webshell 他可以操作你的服务器,你的数据库,你的后台,你的一切给予web的文件。 甚至还能控制你的人生。 很多年前,我黑掉第一个网站,第二个网站 我在他们首页挂上我认为帅气的黑页 可是我发现,我并不高兴。并不乐观 我高兴的是,2011年的中菲黑客大战,我在人家网站挂上中国国旗 还有,2013年钓鱼岛事件。 然而,我错了,我大错特错,我以为 通过一些通杀漏洞挂上他国首页 我以为,这就是荣耀 可是,别国人民与我国一样,这真的是荣耀么? 不,这是丢人现眼。 然而,现在每年都会出现一些网络安全的后辈 走着我曾经走过的老路 当你挂上一个网站首页的时候 当你格式化人家磁盘的时候 当你删除人家数据库的时候 你的良心呢?