第五百五十一章 漏洞百出(上)

漏洞往往都掌握在黑客的手中,这句话说的一点没错,黑客现在是一个中性词,以前人们还会区分骇客跟黑客,现在干脆把两者结合到了一起。

微软为什么每周都要发布一个漏洞补丁,那是因为系统漏洞太多了,而漏洞大多数都是黑客发现的,以前那个漏洞交易平台已经不复存在了,微软对外宣称找出系统漏洞的,给予奖励,其实这就是变着法子从黑客的手里购买漏洞,买回来修复,再制作漏洞补丁。只是说得比较好听而已。

鲍里克必须在这一环节打起十二分精神,上一次大会上一共发布了12个系统漏洞,个个都是五星危害漏洞,不知道今年会不会再这么多,他也只能在心里祈祷了。

“大家好,我是开源社区的总版主,杰克!”一名金发碧眼的男子走上了台上。

“互联网高速发展的今天,我们开源社区迎来了新的活力,我们需要各位程序爱好者加入,分享自己的程序源码,好了,我不想在多说那么多的话,今天我代表我们社区和Linux基金会免费放出最新的Linux版本,杰克说道。

“补丁也在稍后会在我们社区和Linux基金会的网站开放下载。”杰克补充道。

作为世界上开源系统的老大,Linux一直都很低调,世界各地的Linux爱好者都期待更新,终于,等待了整整2年以后,终于有新版本了,而且与以往一样,依旧开源,免费!。

这一环节是面向大众的,所以这一环节的报道也就特别精彩了,漏洞也会通过官网报道向全世界公布,会上的发言内容也会是透明的。

Linux更新了新版本的消息很快就通过了互联网传播到了世界各地,一大堆的Linux迷都非常期待了。

“Linux终于更新了,奶奶的我还以为他们不更新了呢。”清风说道。

“清风,你什么时候玩Linux的,我们怎么不知道?”细水长流问道。

“早都开始了,你们不知道而已。嘿嘿。”清风的语气中带着一丝神秘。

杰克说完了以后,直接介绍了Linux新版本的功能,毕竟官方的系统才是准则,但是Linux暂时还不能与猎豹BH相提并论。

杰克介绍完了以后,便下去了,接下来上场的是高克斯,他要干什么?

“大家好,我是高克斯,也是本次大会的项目设计总监,下面我为大家演示一下,‘如何让ATM机自动吐钱’!这个巨大的漏洞,我已经提交给了世界银行,相信大多数已经修复了,本次只做演示!”高克斯笑了笑,随后拍了拍手。

这个时候台上中间位置升起了一台ATM存取款机器。

“感谢花旗银行提供的ATM机器!”高克斯说道。

场上众人都惊呆了,黄非也不禁来了兴趣,据他所知。ATM机器有5个漏洞可以利用,让其自动吐钱,会不会与黄非所想的一样呢?

“我的妈呀,ATM机器吐钱呀!”在剑盟聊天室,各大论坛各大网站第一时间发布了这条消息。

这个也激起了网民们的兴趣,说到钱,很多人兴趣也来了,而且让ATM机自动吐钱,想想都激动呀,要是真的有这样的本事,那就发财了,很多人都怀着这样侥幸心里,都迫不及待了。

高克斯把官方的电脑连接上了另一台电脑上,然后他从怀里拿出了一个光盘,对着大家说道:“这是银行的ATM控制程序,机器的一切操作都是由此程序控制的,感谢花旗银行提供光盘!我现在要在这台连接了ATM机器的电脑上安装ATM Server!”高克斯说道。

随后,高克斯放入了光盘,然后打开了光盘的盘符以后,直接安装了程序,不一会儿,程序安装完毕了,电脑上显示了发现了新硬件,正在加载可用驱动程序,驱动还是得在光盘上安装,把驱动安装好以后,ATM Server就这样搭建好了。

运行一下安装好的软件,ATM机的屏幕这个时候亮了,电脑上运行的那个软件界面完全和ATM机器的界面是一样的,只不过电脑不可以触屏。

“电脑是一个载体,我们现在安装好程序了,现在我要为ATM机分配一个IP地址,与一般的IP地址不同,这个IP地址必须使用国家互联网信息部分配给银行的IP,这是根据国家代号(我们中国代号是86)开头的IP,是绝对安全的!当然,再次感谢花旗银行提供。”高克斯说道。

接下来就是最引人瞩目的时刻了,电脑上显示IP已经是对号段了,也就是这台电脑处于M国内网,不会对外开放,内网IP外部访问不了。

高克斯从衣兜里面拿出了一捆钱,然后笑着对大家说道:“这是1万美金,大家都知道的,当然,这并不是花旗银行提供的,是我自己的!”高克斯幽默的言语让大家都笑了出声,他真的不是以前那个沉默寡言的高克斯了,他真的变了。梅卡看着高克斯那灿烂的笑脸,感到很欣慰。

高克斯把1万美元按照往常的大家的操作,插入了信用卡,分两次存入了银行,毕竟IP是内网的,连接的是银行的总数据库,所以高克斯这一次存款也算。

“哈哈,钱已经存进去了,准备工作已经完毕了,接下来我的演示就要开始了!”高克斯笑道,在场的众人已经激动万分了。

高克斯走到了官方准备的另一台电脑之中,“大家看好了,千万不要眨眼睛,精彩现在开始!可以不用去ATM机里面插入信用卡,跳过验证,直接让它‘吐钱’!”高克斯说完后,开始移动鼠标了。

只见高克斯首先打开了命令提示符,输入了一个非常常用的命令,Ping命令,Ping的就是ATM机器所连接的那台电脑的IP,当大家看到结果显示返回数据失败的时候,那也就是说明这个IP地址不存在。

高克斯之所以演示这个的目的无非就是想说明那个IP是Ping不到的,只见他运行了浏览器,输入了IP地址,显示页面不存在,但是当他点击查看,查看源的时候,竟然发现了有内容。

短短的几行代码,细心的人都看出来了,在一行后面,多出了一个数字,6840,黑客对于数字是敏感的,既然有漏洞,那就尝试一下,6840首先想到的就是端口,往IP地址后面加一个引号加上6840,再次访问一下,竟然页面变成了404错误了,也就是说,这个地址是有源码的,“大家看到了这个是不是想到了什么,那么我们更进一步!”高克斯按照原来的步骤,再一次查看了源码,这一次不仅发现了新的端口号,还不止一个。

高克斯再次输入第一个端口号,发现显示不出任何东西,接下来第二个,也不行,第三个,一个个地测试,最终试到第六个的时候,终于再一次发现了可以利用的页面了。

又再用同样的步骤查看源码,这一次什么都看不到,就在大家以为没有任何规律可循的时候,高克斯打开了一个SQL注入工具,有了工具肯定比手工输入一个个代码快捷地多了,只见高克斯输入了地址,加上端口,点击了注入,第一次,无响应,第二次,依旧无响应,第三次…第四次……还是无响应,这让大家认为高克斯是否搞得掂了。

高克斯从工具那里直接复制了一行代码,加入了网址的后面,测试结果是无响应,“大家是不是很奇怪?为什么每次都会无响应呢?”高克斯说道。

会场上议论纷纷,高克斯继续补充道:“ATM机顾名思义是用来存取款的,存款以后就有后台数据了,如果,我在这段代码的后面加一个整数呢?结果会怎么样?”高克斯越说越平静,会场上的人都沉默了。

只见高克斯直接往注入代码里输入了一个整数,比如反馈为等式,加入了=%1000,高克斯轻轻地按下了回车键,接下来奇迹发生了,只见ATM机的屏幕没有任何反应,但是出钞口却有反应了,一张张地美金从出钞口吐出来,会场上的气氛一下子到了最**,很多人都发出了惊叹声。

“让再多一点吧!”高克斯输入了“=%9000”,因为他之前已经吐掉1000了,存款10000美金只剩下9000美金,100元面值的美元源源不断地从出钞口吐出。

“我的上帝,太厉害了!”连艾薇儿也不禁发出了惊讶之声。

而黄非一脸平静地坐着,高克斯用的漏洞果然与他所想一样,利用ATM控制端过滤不严谨,内网IP的分配不均匀,导致了致命的漏洞,不止M国这个地区的ATM提款机,这个漏洞秒杀世界各地的ATM机,如果放出去的话危害非常大,但是高克斯是早都发现了的,并且通知了世界银行机构,而且具体的一些关键步骤他省略了,所以并不用担心造成重大的危害。