黑客日记：我是一个黑客

 这几天眼睛要好受些了，因为刚买了一个15’的液晶显示器。也许你会觉得我以前的那个特丽珑的17"的显示器应该很威风才对。呵呵，对一个整天15个小时以上坐在显示器面前，距离不超过30厘米的人来说。那个CRT显示器绝对是一个祸害！眼睛红仲，布满血丝。头发脱落，食欲不振，出门还特别怕光，这些都和那个CRT显示器绝对脱不了关系。
分析这个攻击目标已经1个多星期了，但是一点进展都没有。不过，我倒是不心急，偶尔还上上聊天室，和MM们调笑一番。但是，脑子里面其实都在想，他**，难道真的就没有漏洞吗？
    要攻破一个比较专业的网站，哪里有那么容易？人家的网管难道都是傻子？这个世界其实谁也不比谁傻多少。计算机的知识就那么点东西，学懂的人其实都明白就那么个玩意，别看现在新的名词一堆一堆的，其实，说白了，里面的东西和十年前的东西差别不大，尤其对我们这些专门进攻别人网站，在我们眼里，任何程序都是一条一条的汇编指令的人来说，更是差别不大。 无聊的在网上逛，随便进入一个论坛，随便这么一看，就看到一个帖子，也许天生对黑客的东西敏感，随便这么一看，看到的不是别的东西，就是这么一个帖子：3分钟黑掉一个网站。一个“牛人”在上面详细说明了自己如何在3分钟攻入一台计算机。后面很多赞誉的回帖。这位老兄俨然就是一个“黑客”高手形象了。
呵呵，我禁不住笑起来。这种东西网上实在太多了。现在很多人对“黑客”感觉非常神秘，包括不少的专业人员在内，加上一帮“计算机盲”导演的渲染，“黑客”这个东西几乎成了无所不能，抬高自己身价的“法宝”了。你现在说自己懂计算机，根本就没人“鸟”你；懂计算机的人随便在街上一抓，10个有9个都懂，还有一个是“计算机高手”。但是你只要说自己是“黑客”，那么很多人就会对你非常另眼相看了。唉，现在就这么奇怪。都是那帮“计算机盲”的导演害的。
    再看那位发帖子的老兄，原来对方没有设置密码。哈哈，亏它还口若悬河的说那么多东西，什么上传程序了，什么远程登陆了，什么连接拉，什么后门拉。唯独，破译密码那一步，它只是略微带了一下，就几个字，密码为空！但是我还是注意到了。我开始大笑起来。哈哈，管理员密码都没有设，是个懂计算机的人都应该晓得，如果人家设置了密码，你那些步骤有屁用呀。知道了密码，后面的那些东西就是网络操作课程中的东西了。跟“黑客”有个屁的关系呀！哈哈哈。。。。。。。
    我在网上从来不敢说自己是“黑客”。并不是拍别人知道我黑过不少网站。我其实是怕人家给我要求去黑某某网站。到时候我下不来台。比如面对一个可爱MM的哀求，你如何回答，答应吧，你以为黑一个网站就像知道了1＋3＝4，就可以到处用这么简单呀？任何一个网站在破译之前，任何一个黑客都不敢事前就说自己能成功，除非他早就把那个网站黑掉了。不答应吧，mm会说：哼，还说自己是黑客，光说不练，看来是个骗子。。。。。这对我刚刚树立起来的光辉形象，岂不是致命打击！黑客其实成功就靠运气和毅力，当然技术功底也是比较重要的。
无聊，这些帖子我每次都是第一眼看到，然后漂一眼就知道内容了。然后就沉默的离开，当然有时候还是忍不住的笑。不过看的太多，笑的时候越来越少了，不过，今天我还是笑了，那个“牛人”确实比较可爱。呵呵。。。。
脑子里面还是在想我的那个目标，美国海军一个军方网站。我已经扫描过很多次了。他们用的apache最新版本作的http server。采用的是unix，具体说像是sco unix，版本从反馈的信息看应该是7.0的scounixware。但是我知道这个也不一定准确。现在修改版本来让你认识错误是比较流行的方法。端口开了80，21和20，然后就是远程登陆管理的4410的端口就四个。他**，美国鬼子海军中还是有能人，基本就把你的念头断了。21和20显然是用来作FTP的，他用的FTP的服务程序，居然是vsftp1.2版本。靠！就是那个号称世界上最稳定和最安全的ftp服务器。vs的意思就是very security 的意思。从名字看你就可以知道有多厉害了。说实话，这个玩意别看很小，功能也不是很强大，但是安全性真是不是吹的。现在网上还没有公开过这个能攻破这个vs的记录。我以前多次遇到过。都没有成功，都是从其他方面想的办法，现在又遇到这个玩意了。看来对方的管理员也是一个内行。
apache是世界上使用最广泛的http server。要攻破他也是几乎不可能的。无数的高手的实践证明这个绝对是一个很硬的骨头。我不是神仙。我只是一个普通人，并不比人家多一个脑袋，不管你是否觉得会影响我的形象。不过我还是老实告诉你，我也没有办法。其实一般的unix和linux主机都会留下远程登陆的口子，但是你没有密码，还是没用。什么，破译密码，呵呵，你以为这是email信箱呀。
这些管理员的密码可以说是前无古人后无来者，能让你猜出来？况且，登陆三次不对，就不会给你连接了。
实在没有办法，就在他的网站上胡乱点着，心里想，是否放弃算了。美国海军的装备真他**好，当兵的待遇真的好，网站上很多图片，还有士兵搞的赛车大赛，全是我没看过的赛车。真是有钱呀。唉，我们当兵的除了吃苦，就没什么了。不过打起仗了，他们的人肯定不如我们的。
突然进入一个俱乐部登陆入口，看到一个登陆框。一看上面的连接地址，是php写的一个类似bbs的交互式界面。随便注册一个名字进去一看。哇，里面是个小社区，有管理员，有普通人，管理员可以上传文件。当然我现在只是一个普通人，没有上传权限。哈哈，我的脑子里面灵光一闪，如果我能上传文件，呵呵。。。也许能找到点漏洞。我也不敢肯定。于是那个网民叫caption Tom的管理员落入我的视线，破译他的密码而且在bbs上面要容易多了。而且，那个captionTom肯定不会是专业人员。呵呵，他肯定有倏忽的时候。。。好！就盯他了。。。想到这里，我立刻有了精神。干我们这个“黑客”的工作的，就这德行，平时的时候奄的像个要死的母鸡，但是一旦有了想法和目标，就亢奋的3天不睡觉也是可能的。
呵呵，就是这个caption tom让我后来成功的侵入了这个防备及其完备的系统。不过这个管理员我是很佩服的，明显，作网页的人显然不是那个管理员。否则，我是一点办法没有。

2 我攻破了美军海军网站
就是那个叫caption tom的管理员成了我的目标。他只是那个bbs的管理员，大家都上网的人，应该知道bbs的管理员不一定是负责技术的。通常是bbs的主题方面的能人，比如这个bbs是唱歌的，他的管理员可能就是一个唱歌的高手。我现在也没有搞清楚那个caption tom是个负责什么的管理员，我只是关心他的密码，和他的上传权限。现在看来，他肯定不是搞技术的，否则就不会这么不小心，让我钻了空子。说起来，我还真是有点卑鄙，实在对不起他。呵呵，没办法，谁叫我是“黑客”呢，为了攻破这个网站必须要不择手段.让那些把“黑客”描写成用他**手机都可以攻入人家军方网站的“SB”导演们见鬼去吧，黑客是人，不是玩魔术！

有了目标，我开始有了精神，这种精神绝对可以几天几夜不吃饭的那种。首先，我看到了那个caption tom的登陆名字，就是caption tom，因为我登陆的时候我会就用的我显示在bbs上的名字。呵呵，看来这个设计者可能觉得这个bbs的管理员对系统安全不会有大的什么影响，所以没有在意。但是对我来说，我实际上获得了他的登陆名字。要是我设计bbs的话，我的管理员帐号绝对不会用论坛中大家都能看到的名字。至少可以给想破译的密码的人多一道障碍！但是现在几乎所有的bbs的管理员帐号都是用的在论坛中的登陆名字。呵呵，这个老美的bbs也不例外，大家谁抄的谁的都还不知道呢？所以，所有的bbs的程序都能找到相同的地方。现在当然要搞到密码了，首先就现test一下，那个密码加’ or 1=1之类的方法吧，希望那个bbs的设计者不是一个菜鸟。设计美国最大的海军网站的人当然不是菜鸟，所以当我测试的时候，得到的都是密码错误的提示。这个方法行不通了。我没有失望，有什么失望的？如果指望这么几下就想黑别人的网站，那还叫黑客吗？那不和刚才那个“牛人”差不多了。呵呵。然后看了下他登陆界面的的网页的源代码，把他登陆的提交语句剔除出来。他用的是post方式。如果他没有限定登陆次数的话，我基本上就可以宣布他死刑了。因为密码在8位以下，按照我现在的10m带宽的网络速度和我的AMD1600＋的机器，用不了2天，就能破译出来。什么，你用的是10m和AMD1600＋，太不专业了吧？呵呵，我看你才是电影看多了。你以为黑客们都是像电影里面一样用的是10几个显示器的计算机，用的都是你想多快就多块的网络？别看我的网络号称10m带宽，连到美国那个网站，能有1m的带宽我都很满意了。事实上我现在连接的速度还不到1m。现在看看是否限定登陆次数。我知道，一般的bbs的不会限定登陆次数的。为什么？不是设计者不懂，而是为了防止帐号锁死。你想呀，在bbs上每天有好多人要拿管理员的帐号来作试验？如果遇到3次不对，就锁死他，那管理员还作不作事情了？每天管理员都必须给系统管理员发email，叫他给他解除帐号锁定，一次还可以，2次也没问题，如果有个10次，100次，甚至上千次，系统管理员不自杀才怪！但是作这个bbs的人肯定考虑过这个问题。这是我后来攻破之后才发现的。他没有锁定帐号，而是你连续输入3次以内，密码正确，就表示你是正确人，让你进入，如果超过3次，就不让你进入，即使你输入正确的密码。也不行，就给你一条提示“invaild password!"无效密码！帐号也没有锁定。这一招其实很简单，很多人都能想的出，但是对我们密码破译者的人来说，确实是个麻烦事情。不过没关系，这些招数我早有对付技术，我调出我自己写的程序，一个专门试探网页密码的工具。用delphi写的。呵呵，别笑，不是我不会用汇编或者c写。而是，没有必要。那些用工具还衡量一个人的水平的人其实就是菜鸟。用delphi几个小时就搞定的事情，用汇编或者c要用几天一周才能做完，效果都一样。我不用delphi那才是真的有病！界面很简单，一个