黑客攻击用的最短代码是什么?
黑客能够利用一段很短的代码来实现攻击的可能性越来越小了。
0和1编造的现代智能社会,通过简单的几个字符就能实现攻击的概率越来越小了。经过这么多年的发展,这么弱的漏洞只要出现100个,很快就会以打补丁的形式灭掉99个,剩下的1个被黑客用来卖钱。
前提条件是没有留后门,这就好比你提前设置一个“空格”或者简单的字符如“#”来作为登录密码,然后自己再来秀一把肌肉,一秒破解。
当然提前做好的代码段,仅仅只是敲几个字符作为启动命令执行代码段,也不算。同理通过控制大量的“肉鸡”来进行类似DDOS这样的功能,也不算。
而应该是拼图游戏中缺失的那一块,恰巧你补上去了,形成了多米诺骨牌那样的连锁反应,最终在极短的时间内达到攻击、侵入的效果。
比如SQL注入SQL注入属于一种非常常见的网络攻击方式,它并不需要取得操作系统的权限,也不需要利用操作系统的Bug,而只是针对数据库漏洞或者程序员编写代码时疏忽,导致通过一些SQL的语句,就可以无账号登录查看数据,甚至篡改数据库。
通过搭建DVWA渗透测试平台来作为简单的攻击测试,在一个安全级别为Low的网站,仅需要输入一个数字“1”,然后“submit”,然后查看源代码就出出现意想不到的信息。
通过推理后输入“1' union select user,password from users#”后,再点击“submit”就可以获取到重量级的用户名和密码,再由md5进行解密就得到了明文密码。当然感兴趣的小伙伴们可以试着搭建DVWA测试一下。
比如系统漏洞攻击Ubuntu曾被曝出一个非常严重的漏洞,只需要切换系统语言+输入几行命令,无需系统密码就可以添加新的sudo用户、获取权限,事后还能删除不留痕迹。
在标准用户上打开终端,输入命令“ln -s /dev/zero .pam_environment ”在主目录上创建一个软链接,再在系统设置中打开“区域和语音”,尝试进行更改语言。这时这个对话框就会冻结,一个名为“accounts-daemon”的程序会消耗100%的CPU资源,这时再在终端上输入“rm .pam_environment”删除软链接。此时还需要通过“pidof accounts-daemon”来查找PID,通过kill命令来杀死这个PID。
设置一个计时器用来在注销后重置accounts-daemon,注销后等待几秒钟后,就会显示让你创建一个新用户账户的界面,这个新账户拥有root权限,当然可以运行sudo命令。
黑客攻击并不会局限于某一个系统,比如2020年谷歌安全团队曾指出有一个神秘组织至少部署了11个0day来攻击安卓、IOS和Windows用户。
这些神奇的短代码都具有共同的特性执行这些代码可能会造成软件或系统的缓存区溢出,这样就会导致程序或者系统出错,还可能会执行侵入者提供的代码。这时就会变成水不是受害者的,桶也不是受害者的,而属于攻击者。比如Windows 2000 SP4简体中文版中通过DIR命令就可以产生“目录溢出”。
执行这些代码也可能是写程序的人故意留下或者欠思考没有形成程序闭环,直到某一天突然被一个人偶然输入一个字符或者一段代码就显形了,也可能是被某些很多系统和程序的大神揪出来,也可能是被黑客通过编写的漏洞扫描工具扫出来。
在一团乱码的程序代码中不可避免地会产生漏洞,这也就是为什么每年都会爆出那么多的高危0day漏洞。但键盘敲几个字符或者鼠标点击下出现的漏洞几乎绝迹了,因为程序员这个职业也在不断进化,不再是程序发展早期的那些学艺不精小白了。
以上个人浅见,欢迎批评指正。
认同我的看法,请点个赞再走,感谢!喜欢我的,请关注我,再次感谢!
版权说明:Copyright © 广州京杭网络科技有限公司 2005-2025 版权所有 粤ICP备16019765号
广州京杭网络科技有限公司 版权所有
免费热线:400-683-0016
扫二维码关注公众号
当前位置: