Saturday, May 30, 2009

[Mood] Hack魂,黑黑黑~

從研究所畢業後,就再也沒玩hack了。
雖然畢業後,也有去面試搞security的公司。
但後來也沒有去。
但最近突然又好想玩hack。

這是我以前玩hack時,最常去的一個網站
http://www.packetstormsecurity.org/

以前,只要上去那網站,點進top 100 tools。
把幾個程式抓回來,看一看,改一改。
就可以搞到好幾台server了。
但最近再去看,想要hack,似乎困難很多。

但最基本的一招-密碼字典檔。
永遠都很好用。

其實以前在hack時,也沒那麼重技術。
很多時候,都是碰運氣。
最重要的就是等對方的疏失。
例如:coding時有bug,中木馬,偷懶沒上patch,密碼沒設好。

當初會Hack到台灣的“仙境傳說 online“時,就是他們工程師偷懶。
在灌Windows 2000 AD Server時,灌到一半,就回家或睡覺去了。
正好當天晚上,被掃中,馬上黑進去,把密碼dump回家。
Administrator的密碼算出來後,發現密碼rule跟IP有關係。
每台server又都有裝Remote Desktop,3389的port也沒換掉。
於是,每台都中,一台一台黑進去,連sql server一起都黑掉。

黑完台灣的RO後,再試試日本跟韓國的RO。
日本的工程師,真的比較用心,同樣的方式沒有用。
韓國的工程師,一樣偷懶,patch沒上,就去休息了。
同樣的方式,把韓國的RO一起做掉。
但韓國RO的密碼設的比較嚴謹,但管理者,一樣偷懶。
把密碼用EXCEL來記錄,不過寫的是韓文。
於是我就找了韓國鍵盤的圖,發現韓文輸入法是用拆字的方式,
跟倉頡或無蝦米輸入法有點雷同。
於是就照著EXCEL檔裏面的韓文,用韓文輸入法,KEY出英文字。
把那堆英文字,拿來試看看RO的frontend跟sql server
結果又全中,哈~一台一台黑掉吧。

這已經是六年多前的事了。
現在應該沒這麼好康,這麼簡單的事了。

以前Hack都是為了要惡搞。
例如:
Hack到政大女生宿舍裏的電腦,
嗯,連進去看看有沒有什麼秘密。
發現Pictures的目錄有東西。
檔名寫著“四大美女.jpg“。
馬上下載回家看看。
嘖~這~,太恐佈了。
馬上“ren 四大美女.jpg 四大恐龍.jpg“
隔天,這台電腦就連不進去了,連ping都ping不到:(

Hack過的機器90%都是管理者疏失所造成的。
這些機器中90%是用密碼字典檔的方式猜中的。
所以密碼別亂設,別太簡單,用心一點吧。

另外RD在coding時,盯緊一點比較好。
薪水最好是給多一點:)
常常聽到的話如下:才拿那點錢,寫那麼多,寫那麼好幹嘛。
老實說,當自己在coding時,寫到不爽時,我也是這樣子想。

用PPPOE撥接上網的,密碼又很偷懶的。
還是別偷懶比較好唷!
密碼其實不難猜,利用些蛛絲馬跡,配合字典檔就可以猜到。
蛛絲馬跡也不難找,用google,有時候可以查到很多。

其實,一般hacker對於市井小民的電腦,其實是沒興趣的。
hack online game的server,弄個幾張神卡。
拿去賣的話,隨便都可以賺很多小朋友。
hack這種機器比較有挑戰性,也比較實用。
除非做人太超過,樹敵太多,惹到人。
不然一般家用的電腦,是不太會被hacker盯上的。

沒錯,我這是寫給某人看的。

No comments:

Post a Comment