如何干掉一家网络公司、干掉互联网人，APT攻击！

起因：无极领域博客所在的主机商被攻击了，一个成立6年，在业内名气很大的网络提供商就这么被干了，旗下所有客户包括他们自己的官网全部被干死了。搞他们的十之八九是同行，这几乎是网络圈子公开的秘密，看你不顺眼就打你，打的质疑人生。

没错，本文讲一些黑客知识，以及简单搞死网络公司的案例和方法。看反响，大家喜欢，我就细致写写。

难吗？

小学生都能搞懂的东西能有多难！

struts2漏洞，一个小学生都会用的漏洞，成千上万个网站被攻击，其中不乏被搞破产的。

这个漏洞，我最早在2012年接触的，见证过太多人一晚上几万~十几万的收入，当然，血洗之后部分公司的网站再也打不开了…

struts2是一个框架，很多话费充值、商城类网站都是在这个框架下做的，框架出漏洞了，这些话费充值、商城网站…无一能避免。

包括一些银行官网都被搞过哦，名字我就不说了，想想在银行网站搞个恶作剧，比如一张鬼脸或美女，这该有刺激，我胆小，没敢弄。

既然说小学生都会用，就得上图，不然没人信…

只要把网址复制到上面打码的框里，点击验证漏洞，如果存在就会提示，接着看上面有个文件上传的按钮，上传个网页木马就好了，网上随便就能下载到…

入侵一个网站60秒左右吧..

当然找这类用struts2做的网站就更简单了，直接搜索就行，关键字都是现成的

inurl:index.action 充值

inurl:商城.action

inurl:action?id=

没有NB的关键字 只有爱想的脑袋，这类用struts2框架做的网站，网址结尾都大多是“.action”

百度搜索"inurl:.action” 可以理解为，搜索网址里含有“.action”的页面。

就是这么精准，批量搜索，批量查询，批量入侵。

找到某便民充值平台后，可以登录服务器，就和操作自己电脑一样，想干嘛就干嘛，就和下图一样。

名和密码导出到自己电脑。

用这些用户名和密码登陆后台，给自己充值，也可以直接在Q群里交易，例如话费8折，在网上直接就卖疯了，一些店主会和黑客合作干这事。

Q币也是硬通货，直接把Q币全部充值在一个或几个Q上，然后出售带Q币的Q号，也是8折~8.5折，这个更省事。

总得来说，找对网站，一晚上轻松几万不是问题。

一些实力小点的公司，直接就破产了，一年也赚不了多钱，一晚上就没了。

被抓怎么办？

被抓的概率不足0.1%，建议提前多买些彩票，如果被抓了你肯定就中奖了。

“跳板”这个词很好理解，就是我远程遥控其他电脑远程登录被害网站，这样即使查到了，也是查到的你遥控的电脑。

通常是这样搞的，先买一个VPN，1个月30块钱，很简单就把自己IP换成韩国的，然后租个日本的VPS(可以理解为电脑主机，一个月50块钱)，为了掩人耳目可以把租的日本主机装个英文版系统。

通过韩国IP连接日本的服务器，通过日本服务器操作被害网站，进行洗劫操作。即使查IP，也是日本的，去日本取证后发现是韩国IP…

哈哈，如果你数额巨大，可以多搞几个跳板….

我的水平仅仅是高中自己摸索了两年，无任何人指导，足见技术之差，上面这些我都能摸透，那些真正的大神就又会是怎样呢？

我刚接触的时候，真的被小学生歧视过“你都高中了，怎么连这都不会… …”

远程控制难么

很简单、很简单、很简单

1：申请一个动态域名（免费）.

2：很多论坛都可以下载到远控木马，早期的灰鸽子、冰河、GhOst，简单设置一下（免费）.

3：物理接触受害者的电脑，安装木马并添加到杀软白名单，这样杀软以后就再也看不到这个木马了，这里的核心是”白名单“ 。

物理接触的意思就是，妹子找你装电脑，你手摸着她的电脑，给她装了个系统，附带着装了个木马。

如果要搞陌生人，那就不容易了，因为木马是会被杀软查杀的，但是会免杀的人，杀软也没辙。

DDOS，搞你没商量，不管你是谁，打的你妈都不认识你

一个运营6年的网络服务提供商，就这么被打了连续几天毫无招架之力，那么多客户无一幸免，无极领域博客就是受害者之一。

一群流氓打算搞对门有竞争关系的商铺！

流氓们装作普通客户全部拥入对手的商铺，赖着不走，真正的购物者却无法进入。

然后和营业员有一搭没一搭的东扯西扯，让工作人员不能正常服务客户。

也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空。

最终跑了真正的大客户，损失惨重。

流氓人多，大伙一起干，铁杵磨成针。DDoS攻击就这个意思。

一个人控制大量电脑，然后同时涌入要攻击的IP，这样他就没办法接待正常访客了，对外显示就是网页打不开，就和我博客一样。

搞死别人网站太廉价了

前几天看到又有人抄袭我的内容，而且还不留版权，我这不入流的技术，30秒就把对方网站打趴下了，我电脑50M带宽，用的CC攻击。

对方用的美国主机，美国可以随便打，没事。

让你抄，让你不留版权，打死你。

这个我在纵横会群里秀了一下

总的来说，大家都挺善良的，也没啥大仇，所以十几分钟后这个网站就恢复了。

这件事告诉我一个道理，坏事有偷偷做。

当然，也是这个网站太弱了，所以才能一搞就死。

一般来说80%的网站都是一打就死。

好点的主机就直接雇人打，几百块就能打死。

打个10天，一个网站差不多客户就流失光了，对方换高防主机，你就加大火力。

有点类似城墙和大炮的关系，说白了就是一场资金消耗战，只不过战场在敌人领土，生灵涂炭也是对方的损失大。

现在知道搞垮一家网络公司有多简单了吧，有钱，一切 so easy

追查难度太大了…

APT攻击无物不破，专治各种不服

嗯，你确实有钱，防御好，势力大。

但如果有人1年、5年、10年的搞你，你怕不！

用个词形如就是 “不死不灭”

通常用于国家层面的网战。

DDOS更像是流氓，管你多厉害，我人多。

APT则是毒蛇，持续地收集你的一切信息，然后整理汇总并分析，从各种边沿业务着手，一步步的接近你。

例如你打算搞一家大网站，可是主站防御特别好。

于是你就查这家公司旗下其他的网站，并且搜集他们的员工邮箱。

运气不错，找到这家公司几十个员工的邮箱号，开始用公开的数据库查一下，看看曾经是否泄漏过密码（一半的概率能查到，这种查询方法叫做“社工库”）

如果没查到，就批量尝试弱密码，也就是国人常用的“123456”、“111111”、“123456”、“生日”这类弱到极致的密码，通常查到的概率也挺高的。

登录员工邮箱，查看有用的敏感信息，也可以通过员工邮箱钓鱼其他员工…

前面搜集了不少大企业的旗下其他网站，（软件直接开扫…）其中某个站恰好有漏洞，拿到权限后可以ARP嗅探，也就是同IP段，你有一定概率可以得到其他服务器的用户名和密码。

总得来说，这是一个细致的活，而且技术含量不高，全程软件就能搞定。

我不懂QQ这个软件是怎么编写的，但是我也会用QQ发消息

我不懂网站源码怎么写，但是我也会用源码做网站

高端的黑客技术我也不懂，但是我会用软件。

上次世纪佳缘把一个给他们提交漏洞的人抓了，这个网站够大吧，算是国内知名的大婚恋网站。

其实这个被抓的哥们只是用了一款软件，名字叫"sqlmap"

大黑客们居家旅行，杀人越货必备软件之一。

哦，软件是免费的。

网上搞人的方法太多了，稍稍用点心就能让目标应接不暇，声名狼藉，我不会讲太多细节东西，只做一个兴趣引导，这两天运气不好，就普及点坏事怎么做，关于防御我知道的不多。

一个只能隐藏在黑暗的角色

我高中只自学了2年就放弃了，很早前我就意识到，这是违法、且上不得台面，…

网易、腾讯、新浪、阿里、携程、天涯、CSDN….你所知道的大网站全部都被爆出过漏洞，而这个平台名字叫“乌云网”

但是它前几月已经关停了。

曾经最出名的查开房数据就是乌云爆出的…

乌云的存在引发信任危机，它曝光了太多本该不被民众知道东西。

职业打脸国内大型网络公司…

如果只是一个圈子内的小网站，倒也罢了。

只可惜它出名了，所以它的死期就到了。

哦，说个好玩的。

在支付漏洞爆发的那阵子，有个黑客在某支付平台（有牌照的）给自己充值了1000000000元，也就是10亿。

然后他把这个漏洞提交了。

但行好事，莫问前程。

有1万种方法可以搞一个人，那些徘徊于各大网站评论区的喷子们，你们小心哦，说不准哪天就会被人收拾的哦，例如打断狗腿。

以上讲到的思路，这类人被称为“脚本小子”，脚本小子（script kiddie）略带贬义的词，用来描述以“黑客”自居并沾沾自喜的初学者。脚本小子不像真正的黑客那样发现系统漏洞，他们通常使用别人开发的程序来恶作剧。通常的印象为一位没有专科经验的少年，破坏无辜网站企图使得他的朋友感到惊讶。因而称之为脚本小子。

所以我总会强调自己不入流，强调这是部分中小学生都会的东西，不是谦虚，是真的不难。

无极领域原创，内容来自微信公众号：无极领域

个人公众号：wujiyyy （微信公众号有其他文章…）

QQ/微信：83691843

我的博客：http://1230.la (受主机商牵连，无妄之灾，目前处于半死不活的状态)

转载请保留出处：无极领域 » 如何干掉一家网络公司、干掉互联网人，APT攻击！