黑客营传奇故事一:幻影交叠

引子

　　佛祖有云：旗未动风也未动，是人的心自己在动～

　　普天之下，几乎所有的网络管理员都希望自己的服务器能够安全，如铁桶般密不透风，如那个叫忘川的大漠一样，浮云无法掠，飞鸟无可渡。不过乱世网络，纷纷扰扰，自己的天堂，往往是他人的地狱。这话倒过来说也一样。黑夜给了我黑色的眼睛，我却用它寻找 漏洞。是的，我用扫描软件，用扫描软件寻找那些铁桶上的针眼，其实可怕的并不是我，而是我的耐心，我的耐心比天空的霾云还要阴沉，像藏着狂风、雪暴、闪电、霹雳！我一触即发……

　　1．踩点（Footprinting）：上上签

　　七月十四，夜。

　　黑客营，漆黑一片。

　　每每到这样的夜色，就是我伸手干活的时候。今天，大姐交给了我一个任务，攻陷留香客栈的服务器，那是个色情网站的窝，里面的人还和大姐结了梁子。我与大姐在网络中相依为命，我知道大姐恨所有的男人，因为是男人把她抛弃的，大姐要报复那些负心的男人。可千百年来，天下一直是男人的天下，江湖也是男人的江湖。但大姐告诉我，江湖是我们的江湖。

　　我问大姐做到什么程度，她说：鸡犬不留。

　　你也许听说过扫描，这是黑客营的人常用的手段。在下手之前，我们都要完成这个最关键的一招，这一招是让敌人漏出破绽的一招。

　　在扫描下手之前，黑客营的人都要先进行俗称的踩点，就是收集目标服务器信息的细活儿。大姐在黑客营常跟我说：震动江湖的天下大盗，在打劫任何钱庄金铺之前，都会对打劫的目标摸索的一清二楚、透透彻彻，熟悉的可以不假思索的直奔主题，这样才能来去自如。踩点也是同样的道理，而且要更加的精细准确，收放自如。大姐的每一句话我的记得清清楚楚，不敢有丝毫遗漏。

　　hack.cpcw.com留香客栈的窝儿，我决定先去看看。我在最国内常用的几个域名注册的网站开始查询留香客栈域名注册的信息，我常去万网找，理由简单：快！没有想到输入之后还真的小有收获，留香客栈服务器的所在的地址、联系人的电话、Email 信箱、他们的DNS域名指向服务器等等我都掌握了。得到电话很重要，因为我常听大姐说，很多愚蠢的人就用电话做 密码，所有的密码。我还听大姐说，有一次她竟然直接给管理员打电话就问出了密码，灭了那个网站后，管理员引咎辞职。

　　我看到留香客栈的网页网址在IE的地址栏中显示为：

　　http://hack.cpcw.com/usingdo14.asp?typeid=1&usingdottid=44

　　这其中有一段.asp，不是什么php和cgi，更不是我们黑客营忌讳的jsp，我很高兴，这说明留香客栈的服务器应该是Windows 2000或者以上等级的操作系统，总之是逃不出我熟悉的Windows的范围了。

　　 黑客营书：

　　ASP全程是Microsoft Active Server Pages，它是服务器端脚本语言，使用它可以创建和运行动态、交互的 Web服务器应用程序。使用 ASP可以组合 HTML页、脚本命令和 ActiveX组件以创建交互的 Web页和基于 Web的功能强大的应用程序。ASP应用程序很容易开发和修改。ASP的程序均在Windows服务器下运行。

　　PHP与CGI同样是脚本语言，不过他们可以运行在Windows以外的如：Linux和UNIX等操作系统中。

　　――<meta name="GENERATOR" content="Microsoft FrontPage 4.0">

　　<meta name="ProgId" content="FrontPage.Editor.Document">

　　在查看留香客栈的网页源文件头时，我看到了这段信息，FrontPage，多么让我心醉的软件，简单得不能再简单的功能。没有想到留香客栈的当家子竟然用这么简单的软件搭建成了这个宾客云集的旺店。不过今夜之后，江湖中将不会在有留香客栈，如此的信心就来源于我在踩点中收集到的这些详细信息。

　　临走前，为了保险起见，我有Ping留香客栈一下，“Reply from 61.180.78.23: bytes=32 time=422ms TTL=113”TTL的返回值是113，我断定这绝对是Windows 2000的机子。这是大姐最早教我的一招，通过ping对方让对方返回给你TTL值大小，粗略的判断对手的系统类型是Windows系列还是UNIX/Linux系列，一般情况下Windows系列的系统返回的TTL值在100-130之间，而UNIX/Linux系列的系统返回的TTL值在240-255之间。当然江湖中的高手知道修改TTL的值达到欺骗的目的，但是高手都很忙，忙的忽略了这些小事儿。

　　次日，夜。大姐对我说，再踩一次，万无一失。

　　每个人都会经过这个阶段，见到一座山，就想知道山后面是什么。因为大姐知道，得不到的东西永远是最好的。

　　这一次，我用百度、Google、天网、新浪的搜索引擎分别搜索留香客栈的整个网址，果然，就像大姐说的那样，丝毫不差，我找到了两个从来没有出现在留香客栈的网页，其中一页的简讯上标着这样几个字“建栈日记”，点击链接地址后，发现客栈当家的早把这两页删除了，毕竟，年代太久远了。不过还好，百度、Google都有网页快照的功能，我点开，果然有文字的存底，日记不多，3000余字，但是对我来说足够了，其中一段这样写：“飞刀门的老李告诉我，他常常用绿箭口香糖上的大串英文字符当作密码，我认为这招极好。”

　　 黑客营书：

　　在利用搜索引擎是，你可以在搜索网之前加入如下字符串
 
　　C:\winnt

　　可找到页面引用了Windows系统文件夹内容的服务器
 
　　C:\inetpub

　　可找到夜眠引用了Windows Internet服务根目录的服务器
 
　　Sweb/default.htm

　　可找到通过浏览器中内嵌的ActiveX控件的Windows 系统

　　十五日，小暑，夜。

　　通过口香糖的提示，我连夜灭了整个飞刀门。鸡犬不留。我想到了大姐念过的两句诗，我很喜欢的诗——

　　弃我去者昨日之日不可留，乱我心者今日之日多烦忧！

　　这诗好美……

　　2．扫描（Scan）：真相

　　大姐笑了。

　　因为大姐知道留香客栈的人比飞刀门聪明不了多少，一样是一群蠢驴子。

　　十七日，4时清晨。

　　大姐吩咐我，针对留香客栈服务器的漏洞扫描开始了。

　　一位前辈告诉我，扫描工具是漏洞入侵过程中最关键的一步，选好兵器才能够十步一杀。而一个好的扫描器必须有简洁和易于使用的操作界面，强大的分析和扫描信息范围，对最新漏洞的扫描判断能力（也就是通常所说的升级概念），详细的分析结果报告和对漏洞的描述与对策。这样的兵器才能算的上是黑客营黑客手中的一把宝刀。

　　对于这台Windows服务器，我最爱用的扫描器是“安全焦点”的X-Scan和小溶的流光，很多地方都有这两款兵器，不过我只喜欢在黑客营中拿，因为顺手，安全。大姐说，X-Scan在Windows 2000的环境下运行的最爽。

　　流光是需要安装的，而且补丁包也是一堆，繁琐的很。X-Scan就要顺手多了，拿回来用WinRAR解压缩一下，就立刻可以用了，这自然是我当选之首。X-Scan中最重要的是扫描参数，设置的好可以很快令我们事半功倍，当然如果你要是干一件粗活儿，根本就不用动那些默认的设置，直接在扫描参数的基本设置中输入你要扫描的IP地址即可。IP地址当然是通过Ping网址得到的。

　　不过今夜我要灭的留香客栈。

　　这个最新版本的X-Scan我也是第一次用，我点开“扫描模块”，仔细的看着每一个模块右边的说明文字，这些就是X-Scan让人致命的利刃。我在“参数设置”中的“高级设置”里钩选上了“显示详细进度”，我要记下灭掉留香客栈的每一个细节，而这样X-Scan扫描留香客栈的每一个细节我都可以看得清清楚楚。留香客栈用的是Windows 2000，脆弱的系统，别的还用我动吗？不需要了，大姐说，不要太高估你的对手，X-Scan默认设置足以。

　　我开始用X-Scan对留香客栈下手了，X-Scan先检查了留香客栈主机是否在线，同时被动识别目标主机操作系统类型，报告与我分析的一样，果然是Windows 2000主机。随后X-Scan扫描了留香客栈TCP端口状态，并根据我的设置主动识别出留香客栈服务所有开放的端口和正在运行的服务的类型。这时我注意到，除了传统的21、80等端口外，留香客栈竟然还打开了3389这个端口，此端口一开，留香客栈必灭无疑。

　　X-Scan此时开始通过139端口对WIN NT/2000服务器弱kou令进行检测了。这一点极其重要，是能否通过3389端口打开留香客栈大门的关键。X-Scan这一点设计的非常完美，因为即便当从服务器获取用户列表失败时，它会从加载字典文件中的用户列表。我还可以通过编辑“dat”目录下的“nt_user.dic”和“nt_pass.dic”扩充用户名/ 密码zi典，也可以通过“扫描参数”窗口中的“字典文件设置”页加载我需要的字典。我选择了攻破飞刀门的那本字典，那里面除了有飞刀门老李的密码以外，我还收集了箭牌其它口香糖的关键字符。

　　X-Scan以及开始调用插件载入字典对留香客栈的“SQL Server”弱kou令进行检测了。留香客栈果然使用了SQL Server的数据库。但是并没有我字典里的弱kou令。

　　十分钟后，完成了整个扫描过程，X-Scan自动成生的检测报告结果让我愤怒，留香客栈虽然开了无数常用功能的端口，但是不存在一个弱kou令。我似乎无法轻松简单的灭掉留香客栈，难道真的山穷水尽了吗？

　　黑客营书：

　　可以通过编辑“dat”目录下的“sql _user.dic”和“sql _pass.dic”扩充用户名/ 密码zi典，也可以通过“扫描参数”窗口中的“字典文件设置”页加载其他字典。

　　SQL Server：微软出品的数据库系统软件。

　　3．碰壁：纠结难解

　　我不由得苦笑——留香客栈若失真的躲过了这一劫，也势必会招来大姐亲自动手的恶运。这么想着，我渐渐又回到了自己黑客的身份上。想着身份，我不由得脊梁骨更加发寒！

　　我想到了大姐对我的失望，我想到了更多，我想到改变计划的后果。

　　我像一头失职的猎犬，我听到了“嗖嗖”作响的鞭声！

　　我浑身的毛孔都紧缩了。

　　我的表情很苦。

　　我惟有向天祈祷，请它向我保证，接下来的一切将如我所希望的那样发生……

　　可天是黑色的，像一个人沉着脸，天上只有一些隐约的星星。

　　雾很浓，似永远不散。

　　我只能苦笑，不过我至少还明白一点：不要轻易放弃，得不到的东西对于我来说永远是最好的。我开始尝试着用流光进行扫描，可是得到了一样的结果。留香客栈如铜墙铁壁般，根本无法渗入。虽然客栈打开了135、139、445、3389这几个看似是漏洞的端口，但是却没有给我任何下手的机会。

　　我反复的看着这几个端口，希望能够从中找到破绽。沉思之时，突然我发现我的BlackICE防火墙在闪动，我打开一看，果然，留香客栈的娄罗发现了我的行踪，他们也在用同样的手法扫描我的电脑。虽然我也没有打全补丁，不过BlackICE的防火墙已经能够替我抵挡住所有的进攻了，要知道BlackICE的Update补丁我一个没有丢下。

　　留香客栈的喽罗中，似乎又一个人非常扫描的非常带劲，短短十几分钟之内，此人已经试过了十几种方式探视我的机器。但也许这个扫描的得意家伙自己绝对没有想到，自己已经中了冲击波病毒，因为在我的BlackICE中他的IP同时显示“MSRPC_RemoteActivate _Bo”这是典型的中了冲击波病毒后的症状，这个家伙肯定没有打完自己Windows的补丁，不以其人之道还以其人之身太对不起他了，我也开始用X-Scan扫描他的IP地址，果不出我所料，此人的机器竟然漏洞百出。从SMB到445，几乎一个不差的全开着，看完漏洞报告后我暗自发笑，大姐说的果然没有错，留香客栈的人和飞刀门的一样是群蠢驴子。

 　　我暗自揣测着用什么方法教训这小子一下，看着X-Scan生成的漏洞报表，看着那些红得让人眼晕的严重漏洞提示，我究竟选什么方法教训他哪？选择SMB或者那些弱kou令之类的简单东西太有失黑客营的脸面。没想到，面对弱小的对手时，如何艺术的杀死他也是一件难题。思量片刻，我突然看到，在这个漏洞百出的机器中，那些红得耀眼的字符中有这样一段“漏洞，cifs (445/tcp)”，后面的说明是“运行某版本Microsoft操作系统的远程主机可能会存在几种形式的漏洞：包括拒绝服务，远程执行任意代码等。Microsoft已经发布了修订补丁(KB835732)来解决这些问题。MS04011”。天助我也，这可是一个新东西，Windows最新的LSA溢出漏洞。通过这漏洞，我可以轻松的拿到这小子的主机权限。

　　十五分钟后，面对屏幕我感到一丝寒意，我进去了。不过这是我才发现，此人竟然是留香客栈的二当家“雪柔”。苍天不亡我，这个小丫头片子的机器里肯定有我要的留香客栈的密码。如果能够得到留香客栈3389的密码，何愁灭不了留香客栈？我不但要灭了留香客栈，我还要灭了所有留香客栈的这群大大小小男男女女的马贼们。

　　雪柔的文档夹中果然又一个名为SNKey的文本文件，难道这就是留香客栈的密码？我下载回来打开一看，内容是这样的：

　　黑白相间6颗棋子一次成排直线摆开，棋子左方有四颗空棋位。现在要将这六颗棋子移动成为3颗白色在左边，3颗黑色在右边。同时必须一次并列移动两颗棋子，把他们一起移动到空位上，不可以更动棋子的顺序，只可移动三次，用户名和密码即可得到。

　　　●○●○●○
 
○○○●●●

　　注：连接方式 3389

　　我思考片刻之后，手起刀落，灭了整个留香客栈……