by luoye和我的小伙伴h4ck566
某天本屌在广东第一黑客akast超级大神牛创建的广东wooyun群扯淡
这时看到广东第一黑客akast超级大神牛说如果要注册他的 @ngsst.com 邮箱,必须要wooyun ID的rank大于100,小于100的他看不起
看到这里,本屌自卑的心理显露了出来,虽然我也是广东人,但是我的rank只有34,并不能获得广东第一黑客akast超级大神牛的权威认可
以后本屌要多点用Struts2利用工具来刷rank了,不然会显得自己技术太垃圾了(虽然本屌本身就是菜鸟)
所以本屌叫上我的小伙伴h4ck566就走向了逆袭广东第一黑客akast超级大神牛的道路上
收集了一下广东第一黑客akast超级大神牛的部分信息
akast大神牛有一款国际级的神作,名曰magic box 10秒渗透测试平台
据传广东第一黑客akast超级大神牛的技术研发团队自主研发出了这个平台后,又重写了所有BT5下的工具(包括msf)
界内人都说得此神器犹如得到了阿迪王,如果利用此神器10秒内日不下目标,那么你的智商就近乎为0
还有以下3个中外著名的安全站点
www.ngsst.com
wiki.ngsst.com
bbs.ngsst.com
www,wiki,bbs这3个站均不是同一个服务器,可见广东第一黑客akast大神牛那超强的风险控制意识是多么的国际化
每个站都大概踩了下点,www和wiki均采用了wordpress,wp本身就安全得一塌糊涂,再加上akast大牛的二次开发(我猜测超级大神牛肯定会二次开发wp的),安全性更是达到了一个前所未有高度
bbs采用dz,必定也经过了广东第一黑客akast大牛的强化
看到这些信息后本屌硬了,akast大牛不愧为广东第一黑客,他的安全意识可能是全wooyuner都未见过的
在bing旁注了一下这三个站,发觉wiki和bbs比较像是虚拟主机
通过dedecms漏洞打死了一个bbs的旁站
浏览了一下发现确实是星外,叫某地下黑客用星外0day打死了akast大牛的bbs
bbs的admin与akast都是广东第一黑客akast大牛本人,但是只有admin用户的密码破出了,akast的密码却破不出,所以只能写个密码记录的脚本,等鱼上钩
后来想了想,有个更恶心的方法,把akast的密码改了,这样akast大牛在登陆的时候以为自己记错密码了,就会把所有密码都试一遍。不过这种方法容易被AKAST大牛发现,所以没去倒腾
wiki也一样,打死了一个旁站后直接星外0day秒了wiki,也插了一个记录密码的按摩棒进wp-login.php里,等待圣人握着按摩棒进入wp穴。
再次感谢某地下黑客
等待了2周,AK大牛终于举阳入阴了,可能是上天注定AK大牛倒下的吧。AK大牛在登陆wiki的时候,可能由于忘记了密码,他把所有密码都试了一遍,导致他几乎全盘沦陷了
2**aA
3***aA
3***A!
f***6b
F***6B
e***b9
E***B9
一共记录了7组密码,我经过组合后又加了3组
2***A!
1**aA
1***A!
后面的事就简单了,密码对对碰,沦陷数个账号。。。。
首先登场的是一号嘉宾,微博
然后是二号嘉宾hotmail
三号嘉宾wooyun
最后是重量级嘉宾,两个QQ
至此,本屌与小伙伴顺利逆袭了广东第一黑客akast大牛。虽然没有什么技术含量,也没有获得什么重要信息,如姓名、身份证号码、手机号码、喜欢的女优名称、体重、身高等敏感信息均无法社工获得,本次行动最终以失败告终,但是过程还是挺开心的
好了,本屌与小伙伴又要去学习了,我们要以广东第一黑客akast超级大神牛为榜样,努力跟上他的脚步,希望akast大牛不要报复我的小伙伴,我的小伙伴是一个未成年的小孩子,使用的密码只有一个,都是前女友的生日,8位纯数字,如有责怪,请找本屌。
本屌上年通过了信息安全等级保护低级测评师的考核,经过测评,广东第一黑客akast超级大神牛的测评结果如下:
weibo.com (符合)
ngsst email (部分符合)
QQ (符合)
hotmail (符合)
wooyun (符合)
taobao (不符合)
域名管理 (不符合)
空间管理 (不符合)
后续建议:根据《GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南》,BBS以及WIKI如此重要的信息系统,按公安要求应定级为三级。每年进行一次等级保护安全测评
整改建议:请广东第一黑客akast超级神牛依照信息安全等级保护3级标准对本次测评中的不符合项进行整改加固,并依照信息安全等级保护相关规定,及时到公安厅进行备案
本次测评结论:不符合
啊,对了,最后akast大牛的rank也变成0了,是不是也不配拥有@ngsst.com的邮箱了啊?
转载请注明:jinglingshu的博客 » 逆袭广东第一黑客akast全过程