开着空调,靠在床头,肖然打开了电脑。
微信群里,几个女生估计是对今天晚上的事情心有余悸,加上爬了一天的山身体也有点累。
巫长青她们三个女生明天上午不打算出去,准备待在房间里休息一上午,下午再出发去火车站乘坐高铁回家。
就连李如玥两个人也打算明天回去,估计也是被连续的两件事搞得有点怕了。
看着她们在群里的讨论,肖然笑了笑,没有在群里发表什么意见。
其实像昨天火车站和今天晚上这种事情发生的概率还是很低的。
之所以这么高概率的发生着两件事,很大概率就是因为她们长得比较漂亮,并且年龄看起来不大,一看就大概能猜出来是还未踏入社会的学生,这就难免会让人把她们当做软柿子。
当然,她们的运气确实也不怎么好。
所以漂亮的女孩子,出门遇到麻烦的概率还是比普通女孩大的,社会现状如此。
……
登录进kali系统,开着代理,通过跳板机远程操控他控制的服务器。
他是一个谨慎的人,毕竟,在网上看过太多因为这种事被抓紧去踩缝纫机的故事。
对于他来说,做这种事,小心驶得万年船终究是好事。
今晚,他的目标依然还是那个赌博网站。
肖然的手指在笔记本电脑的键盘上快速的飞舞,熟练的在黑色界面上敲着他熟悉的各种命令,尝试着从各个入口,用不同的方法去破解对方的系统。
因为网络延时的缘故,很多时候他的指令敲完,远程的电脑上相关的命令还没显示完。
网站常见的漏洞比如sql注入,xxs等,这些漏洞应该都是被网站的开发者规避了,能看出来,这个开发者还是很有安全防范意识的,当然也不排除这个开发者应该在这方面吃的亏太多。
技术的进步有时候就是靠踩坑才积累起来的经验,纸上得来终觉浅。
凌晨两点多,大多数人此时已经进入了梦乡,肖然房间的灯依然还是亮的。
4、5个小时,除了上了一趟厕所,其他时间他的目光都是盯着黑色显示器上面,屏幕上绿色的字体倒映在他的瞳孔中。
成功有时候哪有什么捷径,无非是在别人看不到的时候付出的比别人多。
“nice~”看着眼前显示破解成功的界面,肖然不由得握紧了拳头。
不知道是不是对方的疏忽,网站运行的redis(一种非关系型的数据库,常用于数据缓存)是使用的root权限运行的,并且密码设置的不算复杂,被他暴力破解了。
破解之后,接下来的流程就简单很多了,他通过写入SSh公钥的方式,获取到了服务器的访问登录权限,然后在服务器上找到网站部署的根目录,在目录下获取到了网站的env配置文件,里面记录着数据库的链接信息以及对应的数据库账号密码。
除了数据库账号信息之外,配置文件中还有一些第三方网站的账户密钥,比如第三方支付,第三方短信……等接口密钥信息。
网站的架构是lnmp,算是比较常见的组合了。
对于php代码,肖然现在已经是驾轻就熟,在登录文件中找到系统后台登录逻辑,按照代码中的密码生成规则,肖然自己手动生成了一个加密密码。
然后在数据库的管理员表中找了一个最近三天没有登陆的账号把这条数据记录复制出来,然后把里面加密过的密码替换成自己新生成的。
找了个浏览器登录进网站后台之后,好家伙,整个网站已经发展了个会员,其中消费排行榜第一的消费了300多万,排行榜前十都是消费过百万的。
看到这个数据,肖然不由的有点咂舌,要知道,看管理员的创建时间,这个网站去年3月份才开始运行。
果然,这个社会有钱人还是多啊,这些钱普通人可能辛辛苦苦一辈子都赚不到!
这个网站主要是以棋牌游戏为主,附加一些其他的赌博项目,说实话,用php开发游戏还挺少见的。
接下来,他又粗略的浏览了下后台和代码文件。
他发现,这个网站的核心代码在一个rule文件中,总代码行数有一万多行,主要的功能就是控制你输赢的结果。
里面的逻辑很多,比如识别你是不是新用户,你目前为止是赢还是输,并且输赢的金额都会影响最终的结果。
简而言之,有时候你可能小赚,但我绝对不亏,如果你陷入的越深那你亏得概率接近100%。
肖然把数据恢复成原样,清理完自己的入侵痕迹之后,他在服务器中隐藏了一个小标记,方便下次登录。
做完这一切,他退出了那几台远程跳板服务器。
……