网络渗透那些事儿

周末下雨窝在家里看了:【我是谁:没有绝对安全的系统】

故事,剪辑,音乐都很棒,看起来很带感。

故事简介:

本杰明是一个这样的人:三次元现实世界中,他是一个十足的屌丝&Loser,难以找到存在感,没有时尚感、没有朋友,也没有女朋友。

但是二十五岁的他却是一个的电脑极客,拥有对数字技术不可思议的天赋。而影片中另一位主人公马克思是一个渴望“黑客世界”的潜在革命者,他注意到了本杰明在 网络方面的惊人才华,马克思、本杰明和神童斯蒂芬以及保罗私人组建了黑客组织CLAY,并且为了正义入侵国际安全系统。他们凭借高超黑客技术的所为引起了德国秘密警察组织、欧洲刑警组织的重视,并且一个邪恶的黑客将他们视作威胁,想要将他们除去。

本杰明因此感觉到自己正在面临生死攸关的考验,并且他们的目标似乎不值得他付出如此大的代价......

推荐大家可以去看看,就不做过多剧透了,电影的核心是:社会工程,电影中认为所有系统都是不安全的,因为人性是有漏洞的,包括结尾的反转都是围绕【社会工程】来的。

书系列分三册吧,充分分析了人类在社会活动中的一些行为和弱点,包括人类的七宗罪,微表情等。

从攻击者视角详细介绍了工程的所有方面,包括诱导,伪装,心理影响和人际操作等,同时有很多案例。

现在网络诈骗这么多,p2p跑路的这么多,区块链/数字币割韭菜的这么多,书中内容设计到了黑客,间谍,骗子各种诈骗手法。

推荐大家可以看看,就当开发智力吧,让我们不再当小白鼠。

电影中包含了很多黑客手法,起码编剧很专业,不像某国国产黑客电影,都是在那跑日志。

如果喜欢黑客题材的影视可以看下日剧:血色星期一

也是少年黑客,里面的某些情节还是比较专业的,【龙纹身的女孩】号称黑客电影,但是看完了就看到一个SQL注入。

相信很多少年对黑客技术很痴迷,我也是,但是太菜,太黑的不敢做,小黑被吊打。

学技术还是兴趣爱好最重要,有了持续热情才会持续投入,有点产出。

目前大部分渗透还是web方向,利用漏洞获取一些数据或者做一些控制。

电影中的第一个漏洞是0day漏洞,就是漏洞发布后,厂商一般不能马上把漏洞修复,这个时间段这个漏洞是可以利用的。

一般都是写个tpc/http代理,可能的化做ssh,解析数据包,arp投毒,学完之后反而对lvs更了解了。

当然如果想做更深层次的控制怎么也得先埋马进去,如果在windows上种马之后,可以通过win的API做一些操作了,比如键盘钩子,进程信息,这样就知道你在哪个进程输入了那些键盘指令,基本目的就是偷你的密码。

还能控制摄像头或者截屏,所以小哥哥小姐姐们在家还是找个胶布把摄像头粘上。

当然看自己机器有没有种马,看是不是有个不知道的进程在消耗大量CPU,有没有一个不知名的ip在上报数据。

之前做过中马做代理,从码流中拿到人脸信息,做人脸比对,然后base64加密发到微博,这样可以做穿透防火墙及黑名单,然后一个人脸图片就到微博了。

社交网络上不要上传原图,原图中包含很多信息,通过原图可以很简单的找到你的地理位置。

基本的一些注入:

基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)

熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用

当然大数据时代还需要掌握如人脸识别,NLP,整体上可以让数据更精准,同时更符合社会工程方式的渗透。

完。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180723G1C01600?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券