很多人連之前的演示都沒看明白呢,現在哪能提出什麼意見,要是會入侵,大家也就不用來這裏聽報告會了。
“論壇有個功能,叫做上傳,可以上傳一些圖片之類的附件到論壇上去,這個大家肯定知道吧!”cobra笑着,“我們要利用的就是這一點!現在大家看看來管理員的界面,發現沒有?管理員是可以設置上傳附件的類型和大小的,我手上有個後門程序,格式是exe類型的,那麼我就把exe文件設置爲可以上傳。”
cobra設置成功,打開發新帖的界面,把一個exe文件上傳到論壇去了,也就是說,他把一個後門程序放到了那臺網站服務器的硬盤裏了。
“後門程序放上去了,現在我們只要知道這個後門程序在對方服務器上的具體位置,就可以利用數據庫的權限,或者是其他手段來運行它!”cobra沒有解釋要用什麼手段來確認這個後門程序的具體位置,而是直接用自己的方法運行了它。
胡一飛的水平有限的很,這步他沒看明白,不過,cobra能在自己的電腦上讓另外一臺電腦運行指定的程序,這本身就很厲害了。
cobra打開後門的連接程序,輸入那臺服務器的ip地址後,很快就得到了一個黑乎乎的窗口,沒有圖像顯示,但可以輸入各種命令。cobra輸入一個最簡單的dos命令,是用來顯示自身ip地址的命令。
顯示出來的ip地址跟那臺服務器的地址是一致的,這就證明,cobra已經進入了那臺服務器,並且拿到了很大的權限。
cobra又輸入了幾個命令,把顯示出來的結果,和自己電腦上的情況做了對比,確認這是兩臺不一樣電腦上的內容。當然,cobra還有更直接一點的方法,他直接敲入命令,讓那臺服務器直接重啓,很快,後門程序就失去了連接,再輸入剛纔bbs的鏈接,也提示無法找到服務器。現場的人雖然不懂黑客,但也知道cobra確實是入侵成功了。
“就因爲架設在服務器上論壇程序上的一個小小bug,便導致了整臺服務器被人控制,現在我們再回過頭,來看看這到底是個多大的漏洞!”cobra笑呵呵地看着會場的人,拿起杯子,慢慢地喝着水,足足有兩分鐘,cobra才放下杯子,“我們看看那臺服務器重啓結束沒有!”
胡一飛恍然大悟,心說cobra喝這麼久的水,原來是在等那臺服務器重啓完畢啊,怪不得,胡一飛剛纔還以爲cobra這人有什麼慢性子的毛病呢。
cobra重新輸入論壇的網址,這次論壇又顯示出來了,看來服務器又正常工作了,“我們報告會的主題是網絡安全,剛纔的入侵,只是爲了告訴大家安全有多麼的重要。怎樣能讓自己的電腦絕對安全,這纔是我要講的重點。可能現場的很多同學都會有些疑問,說看你剛纔的入侵,好像也不太麻煩,那防範入侵會不會也很簡單呢?”
cobra笑着,“其實這樣的想法一點都沒錯,安全比入侵要簡單得多,安全在於平時的一點一滴,這些都是可以養成習慣來做到的;而入侵卻需要極不尋常的靈感,以及成千上萬次的試驗,這不是每個人都能做到的。”
cobra再次用後門聯接到那臺服務器,找到論壇程序的源代碼文件,打開了,卻只修改了一句,現場的人看得很清楚,他就是往裏面添加了幾個字符。但奇蹟就發生了,cobra保存了論壇的代碼文件後,他重新再打開論壇,這次不管是1=1,還是1=2,網頁統統都顯示正常了。
“網頁全都顯示正常,你還能得到什麼信息呢?”cobra笑着問大家。
胡一飛的下巴都掉了下來,不會吧,就這幾個字符,漏洞就瞬間消失了,這下入侵的人就要傻眼了,別說是adn,你就是問管理員的賬號是不是“白癡”“弱智”“狗屎”,網頁同樣都會顯示正常。
“當然,我還可以這樣修改!”cobra又打開那個源文件,刪掉剛纔添加進入的字符,往下順了幾行代碼,往那裏插進了一個符號。這次更神奇,等他保存好,再去進行sql注入,不管是1=1,還是1=2,網頁全都提示錯誤,只有輸入正確的網址,不在網址後面添加任何多餘的語句,網頁纔會正常顯示。
“大家看到了吧,安全不安全,就在於你多寫或少寫幾個字符而已!”cobra露出笑容,“所以,我們才經常說:安全與不安全之間,只隔了一個字母!”
會場內掌聲雷鳴,cobra的精彩表演讓大家很是折服。
按照原來的安排,cobra本來還要表演溢出攻擊的防範,結果現場的人情緒都被調動了起來,僅在這個sql注入上,就提了很多問題。
cobra旁邊坐着的胖子,笑得嘴巴都合不攏了,現場的效果比預計的要好了很多,看看差不多了,他就站起來,打斷了現場的提問,“因爲報告會的時間有限呢,這個提問環節就算是結束了,接下來,由我爲大家來介紹一下網絡安全這個產業目前的情況,以及前景預測!”
“先作個自我介紹,我是華鋒網絡安全科技有限公司的總經理,我叫嚴鋒!”胖子笑眯眯對全場鞠躬,“我勉強算是個業內人士,但給大家來做這個報告,心裏還是有點忐忑,就算是我的一點粗淺見解吧,拿出來跟大家一起交流一下,要是大家有什麼不同的想法,可以提出來。”
胖子嘴上很謙虛,可接下來卻着實不客氣,他把網絡安全的發展前景吹成了一朵花,毫無例外,又是那套“巨大的市場需求,與從業人員的嚴重不足,形成一個龐大的人才缺口”的老套說辭,他還拿出了不知道怎麼統計上來的數據,把現場的學生忽悠得一愣愣的。最後,胖子還打了比喻,說做安全的,就好比是做醫生,專門給網絡看病、給電腦看病,從古到今,醫生就是個從不失業的職業。
目前就業壓力這麼大,尤其是學計算機的,畢業之後想進入挨踢行業,可真叫個難,現在想挨踢的人實在是太多了,一個剛畢業的大學生根本就排不上號。如何找份安定可靠的工作,是剛一進入大學大家就開始考慮的頭等大事,所以胖子的這話讓會場不少學生就有些意動,有人開始問道:“那如果我們要是想進入這行的話,都需要學點什麼?”