当前位置:WooYun(白帽子技术社区) >> 黑色产业 >> 如果可以写成小说的话。。。论一下免费的午餐
| 1.社工库
如今主流的各种CMS爆出漏洞,让脱库事件频频发生,从前年的数据库泄漏事件,繁衍出了社工库这么一强大的玩意儿。从之前的比较出名上CCAV的365社工库到后来的数据芯。让人们不得不重视网站的安全和隐私的保护还有密码的安全性。咳咳,今天要说的不是这个,而的讲“黑吃黑”。社工库也有?其实呢,据我了解,还是有一些缺德的黑阔这么做过。我曾经在一些论坛,Q群,微博看过一些黑阔说要搭建社工库,希望能主动提供社工库什么的,并且以邀请码作为回报。试问一下,这些社工库又有几个是真正坚持了几个月。
大部分都是开了不到一个月或者一两星期就关闭了。然后用各种借口,比如被查水表啊,不玩黑了,网站被DDOS之类神马的。 由此看来,只需要一个域名的价钱,和一个免费空间等,就能换回来一些值钱的数据库了。
2.webshell
现在入侵网站唯一当然少不了webshell脚本木马,webshell留后门已经是见怪不怪了。当你乐滋滋的拿shell时,螳螂捕蝉黄雀在后,webshell就发送到留后门的箱子去。我看过不少长期稳定出售shell的黑阔。
其中还是有这么几位发过几款webshell。有没有后门你知我知。一个webshel的价值我以前发过的一个帖子大概有说过。如果有一天,你入侵了一些政府或者教育的网站,又或者是一些知名的网站。然后上传webshell。该webshell有后门,webshell作者把这个webshell卖给博彩或者其他做黑帽SEO的人。甚至挂马。那么网警根据服务器日记找到了你上传webshell的痕迹。是先找到你还是先找到webshell作者就估计有点悬了。运气不好,你可能会当个替死鬼把。
3.xss平台
@xsser 的xssme开源了,之前的xssing也开源了。网络上出现了多多少少的一些xss平台。但有些人搭建才不会白白给你用,有些人会用提交漏洞换取邀请码,又或者是其他什么的。前几天我的一基友在某xss平台看到了这么一奇怪的现象。该平台有记录登陆IP的功能。他看到最近除了他,还有两个异地的IP在他不可能使用电脑的时间段登陆过该平台。然后他好奇翻了翻以前的记录,发现创建帐号没多久这个IP就登陆过几次了,但登陆次数并不频繁。偶尔登陆一下。在这里笔者可否大胆的假设一下。之前不是有个xss平台的裤子泄漏了么。是md5加密的。直接丢cmd5能跑出好多密码。如果,某平台的管理员监守自盗,可否登陆该xss平台下任意用户来查看项目之类的。比如说,某A是xss平台管理员,某B是该平台下一名用户。他在微博发表了一个博文,说是某大型网站的存储型xss漏洞。然后某A看到了,通过导出该用户密码,然后登陆进去后,查看已经窃取到的cookie。当然只是假设,行不行我也不知道。
4.各种黑客软件游戏辅助
在天朝内,属于脚本小子的黑阔应该不少把。开黑客软件关闭杀毒软件这是大多数黑阔或者黑客的习惯把?如果其中有后门,也是防不胜防的。成为肉鸡,或者被盗号。又或者被报复格盘。游戏辅助也差不多把。被盗号的经历我也试过·······
欢迎各种补充···················
以上纯属按照写小说的思路来娱乐下。如有雷同,纯属巧合。请勿对号入座
世界上真的没有免费的午餐啊,看你敢不敢吃了!
