佛祖有云：旗未動風也未動，是人的心自己在動～

　　普天之下，幾乎所有的網絡管理員都希望自己的服務器能夠安全，如鐵桶般密不透風，如那個叫忘川的大漠一樣，浮云無法掠，飛鳥無可渡。不過亂世網絡，紛紛擾擾，自己的天堂，往往是他人的地獄。這話倒過來說也一樣。黑夜給了我黑色的眼睛，我卻用它尋找 漏洞。是的，我用掃描軟件，用掃描軟件尋找那些鐵桶上的針眼，其實可怕的并不是我，而是我的耐心，我的耐心比天空的霾云還要陰沉，像藏著狂風、雪暴、閃電、霹靂！我一觸即發……

　　1．踩點（Footprinting）：上上簽

　　七月十四，夜。

　　黑客營，漆黑一片。

　　每每到這樣的夜色，就是我伸手干活的時候。今天，大姐交給了我一個任務，攻陷留香客棧的服務器，那是個色情網站的窩，里面的人還和大姐結了梁子。我與大姐在網絡中相依為命，我知道大姐恨所有的男人，因為是男人把她拋棄的，大姐要報復那些負心的男人。可千百年來，天下一直是男人的天下，江湖也是男人的江湖。但大姐告訴我，江湖是我們的江湖。

　　我問大姐做到什么程度，她說：雞犬不留。

　　你也許聽說過掃描，這是黑客營的人常用的手段。在下手之前，我們都要完成這個最關鍵的一招，這一招是讓敵人漏出破綻的一招。

　　在掃描下手之前，黑客營的人都要先進行俗稱的踩點，就是收集目標服務器信息的細活兒。大姐在黑客營常跟我說：震動江湖的天下大盜，在打劫任何錢莊金鋪之前，都會對打劫的目標摸索的一清二楚、透透徹徹，熟悉的可以不假思索的直奔主題，這樣才能來去自如。踩點也是同樣的道理，而且要更加的精細準確，收放自如。大姐的每一句話我的記得清清楚楚，不敢有絲毫遺漏。

　　hack.cpcw.com留香客棧的窩兒，我決定先去看看。我在最國內常用的幾個域名注冊的網站開始查詢留香客棧域名注冊的信息，我常去萬網找，理由簡單：快！沒有想到輸入之后還真的小有收獲，留香客棧服務器的所在的地址、聯系人的電話、Email 信箱、他們的DNS域名指向服務器等等我都掌握了。得到電話很重要，因為我常聽大姐說，很多愚蠢的人就用電話做 密碼，所有的密碼。我還聽大姐說，有一次她竟然直接給管理員打電話就問出了密碼，滅了那個網站后，管理員引咎辭職。

　　我看到留香客棧的網頁網址在IE的地址欄中顯示為：

　　http://hack.cpcw.com/usingdo14.asp?typeid=1&usingdottid=44

　　這其中有一段.asp，不是什么php和cgi，更不是我們黑客營忌諱的jsp，我很高興，這說明留香客棧的服務器應該是Windows 2000或者以上等級的操作系統，總之是逃不出我熟悉的Windows的范圍了。

　　 黑客營書：

　　ASP全程是Microsoft Active Server Pages，它是服務器端腳本語言，使用它可以創建和運行動態、交互的 Web服務器應用程序。使用 ASP可以組合 HTML頁、腳本命令和 ActiveX組件以創建交互的 Web頁和基于 Web的功能強大的應用程序。ASP應用程序很容易開發和修改。ASP的程序均在Windows服務器下運行。

　　PHP與CGI同樣是腳本語言，不過他們可以運行在Windows以外的如：Linux和UNIX等操作系統中。

　　――<meta name="GENERATOR" content="Microsoft FrontPage 4.0">

　　<meta name="ProgId" content="FrontPage.Editor.Document">

　　在查看留香客棧的網頁源文件頭時，我看到了這段信息，FrontPage，多么讓我心醉的軟件，簡單得不能再簡單的功能。沒有想到留香客棧的當家子竟然用這么簡單的軟件搭建成了這個賓客云集的旺店。不過今夜之后，江湖中將不會在有留香客棧，如此的信心就來源于我在踩點中收集到的這些詳細信息。

　　臨走前，為了保險起見，我有Ping留香客棧一下，“Reply from 61.180.78.23: bytes=32 time=422ms TTL=113”TTL的返回值是113，我斷定這絕對是Windows 2000的機子。這是大姐最早教我的一招，通過ping對方讓對方返回給你TTL值大小，粗略的判斷對手的系統類型是Windows系列還是UNIX/Linux系列，一般情況下Windows系列的系統返回的TTL值在100-130之間，而UNIX/Linux系列的系統返回的TTL值在240-255之間。當然江湖中的高手知道修改TTL的值達到欺騙的目的，但是高手都很忙，忙的忽略了這些小事兒。

　　次日，夜。大姐對我說，再踩一次，萬無一失。

　　每個人都會經過這個階段，見到一座山，就想知道山后面是什么。因為大姐知道，得不到的東西永遠是最好的。

　　這一次，我用百度、Google、天網、新浪的搜索引擎分別搜索留香客棧的整個網址，果然，就像大姐說的那樣，絲毫不差，我找到了兩個從來沒有出現在留香客棧的網頁，其中一頁的簡訊上標著這樣幾個字“建棧日記”，點擊鏈接地址后，發現客棧當家的早把這兩頁刪除了，畢竟，年代太久遠了。不過還好，百度、Google都有網頁快照的功能，我點開，果然有文字的存底，日記不多，3000余字，但是對我來說足夠了，其中一段這樣寫：“飛刀門的老李告訴我，他常常用綠箭口香糖上的大串英文字符當作密碼，我認為這招極好。”

　　 黑客營書：

　　在利用搜索引擎是，你可以在搜索網之前加入如下字符串
 
　　C:\winnt

　　可找到頁面引用了Windows系統文件夾內容的服務器
 
　　C:\inetpub

　　可找到夜眠引用了Windows Internet服務根目錄的服務器
 
　　Sweb/default.htm

　　可找到通過瀏覽器中內嵌的ActiveX控件的Windows 系統

　　十五日，小暑，夜。

　　通過口香糖的提示，我連夜滅了整個飛刀門。雞犬不留。我想到了大姐念過的兩句詩，我很喜歡的詩——

　　棄我去者昨日之日不可留，亂我心者今日之日多煩憂！

　　這詩好美……

　　2．掃描（Scan）：真相

　　大姐笑了。

　　因為大姐知道留香客棧的人比飛刀門聰明不了多少，一樣是一群蠢驢子。

　　十七日，4時清晨。

　　大姐吩咐我，針對留香客棧服務器的漏洞掃描開始了。

　　一位前輩告訴我，掃描工具是漏洞入侵過程中最關鍵的一步，選好兵器才能夠十步一殺。而一個好的掃描器必須有簡潔和易于使用的操作界面，強大的分析和掃描信息范圍，對最新漏洞的掃描判斷能力（也就是通常所說的升級概念），詳細的分析結果報告和對漏洞的描述與對策。這樣的兵器才能算的上是黑客營黑客手中的一把寶刀。

　　對于這臺Windows服務器，我最愛用的掃描器是“安全焦點”的X-Scan和小溶的流光，很多地方都有這兩款兵器，不過我只喜歡在黑客營中拿，因為順手，安全。大姐說，X-Scan在Windows 2000的環境下運行的最爽。

　　流光是需要安裝的，而且補丁包也是一堆，繁瑣的很。X-Scan就要順手多了，拿回來用WinRAR解壓縮一下，就立刻可以用了，這自然是我當選之首。X-Scan中最重要的是掃描參數，設置的好可以很快令我們事半功倍，當然如果你要是干一件粗活兒，根本就不用動那些默認的設置，直接在掃描參數的基本設置中輸入你要掃描的IP地址即可。IP地址當然是通過Ping網址得到的。

　　不過今夜我要滅的留香客棧。

　　這個最新版本的X-Scan我也是第一次用，我點開“掃描模塊”，仔細的看著每一個模塊右邊的說明文字，這些就是X-Scan讓人致命的利刃。我在“參數設置”中的“高級設置”里鉤選上了“顯示詳細進度”，我要記下滅掉留香客棧的每一個細節，而這樣X-Scan掃描留香客棧的每一個細節我都可以看得清清楚楚。留香客棧用的是Windows 2000，脆弱的系統，別的還用我動嗎？不需要了，大姐說，不要太高估你的對手，X-Scan默認設置足以。

　　我開始用X-Scan對留香客棧下手了，X-Scan先檢查了留香客棧主機是否在線，同時被動識別目標主機操作系統類型，報告與我分析的一樣，果然是Windows 2000主機。隨后X-Scan掃描了留香客棧TCP端口狀態，并根據我的設置主動識別出留香客棧服務所有開放的端口和正在運行的服務的類型。這時我注意到，除了傳統的21、80等端口外，留香客棧竟然還打開了3389這個端口，此端口一開，留香客棧必滅無疑。

　　X-Scan此時開始通過139端口對WIN NT/2000服務器弱口令進行檢測了。這一點極其重要，是能否通過3389端口打開留香客棧大門的關鍵。X-Scan這一點設計的非常完美，因為即便當從服務器獲取用戶列表失敗時，它會從加載字典文件中的用戶列表。我還可以通過編輯“dat”目錄下的“nt_user.dic”和“nt_pass.dic”擴充用戶名/ 密碼字典，也可以通過“掃描參數”窗口中的“字典文件設置”頁加載我需要的字典。我選擇了攻破飛刀門的那本字典，那里面除了有飛刀門老李的密碼以外，我還收集了箭牌其它口香糖的關鍵字符。

　　X-Scan以及開始調用插件載入字典對留香客棧的“SQL Server”弱口令進行檢測了。留香客棧果然使用了SQL Server的數據庫。但是并沒有我字典里的弱口令。

　　十分鐘后，完成了整個掃描過程，X-Scan自動成生的檢測報告結果讓我憤怒，留香客棧雖然開了無數常用功能的端口，但是不存在一個弱口令。我似乎無法輕松簡單的滅掉留香客棧，難道真的山窮水盡了嗎？

　　黑客營書：

　　可以通過編輯“dat”目錄下的“sql _user.dic”和“sql _pass.dic”擴充用戶名/ 密碼字典，也可以通過“掃描參數”窗口中的“字典文件設置”頁加載其他字典。

　　SQL Server：微軟出品的數據庫系統軟件。

　　3．碰壁：糾結難解

　　我不由得苦笑——留香客棧若失真的躲過了這一劫，也勢必會招來大姐親自動手的惡運。這么想著，我漸漸又回到了自己黑客的身份上。想著身份，我不由得脊梁骨更加發寒！

　　我想到了大姐對我的失望，我想到了更多，我想到改變計劃的后果。

　　我像一頭失職的獵犬，我聽到了“嗖嗖”作響的鞭聲！

　　我渾身的毛孔都緊縮了。

　　我的表情很苦。

　　我惟有向天祈禱，請它向我保證，接下來的一切將如我所希望的那樣發生……

　　可天是黑色的，像一個人沉著臉，天上只有一些隱約的星星。

　　霧很濃，似永遠不散。

　　我只能苦笑，不過我至少還明白一點：不要輕易放棄，得不到的東西對于我來說永遠是最好的。我開始嘗試著用流光進行掃描，可是得到了一樣的結果。留香客棧如銅墻鐵壁般，根本無法滲入。雖然客棧打開了135、139、445、3389這幾個看似是漏洞的端口，但是卻沒有給我任何下手的機會。

　　我反復的看著這幾個端口，希望能夠從中找到破綻。沉思之時，突然我發現我的BlackICE防火墻在閃動，我打開一看，果然，留香客棧的婁羅發現了我的行蹤，他們也在用同樣的手法掃描我的電腦。雖然我也沒有打全補丁，不過BlackICE的防火墻已經能夠替我抵擋住所有的進攻了，要知道BlackICE的Update補丁我一個沒有丟下。

　　留香客棧的嘍羅中，似乎又一個人非常掃描的非常帶勁，短短十幾分鐘之內，此人已經試過了十幾種方式探視我的機器。但也許這個掃描的得意家伙自己絕對沒有想到，自己已經中了沖擊波病毒，因為在我的BlackICE中他的IP同時顯示“MSRPC_RemoteActivate _Bo”這是典型的中了沖擊波病毒后的癥狀，這個家伙肯定沒有打完自己Windows的補丁，不以其人之道還以其人之身太對不起他了，我也開始用X-Scan掃描他的IP地址，果不出我所料，此人的機器竟然漏洞百出。從SMB到445，幾乎一個不差的全開著，看完漏洞報告后我暗自發笑，大姐說的果然沒有錯，留香客棧的人和飛刀門的一樣是群蠢驢子。

 　　我暗自揣測著用什么方法教訓這小子一下，看著X-Scan生成的漏洞報表，看著那些紅得讓人眼暈的嚴重漏洞提示，我究竟選什么方法教訓他哪？選擇SMB或者那些弱口令之類的簡單東西太有失黑客營的臉面。沒想到，面對弱小的對手時，如何藝術的殺死他也是一件難題。思量片刻，我突然看到，在這個漏洞百出的機器中，那些紅得耀眼的字符中有這樣一段“漏洞，cifs (445/tcp)”，后面的說明是“運行某版本Microsoft操作系統的遠程主機可能會存在幾種形式的漏洞：包括拒絕服務，遠程執行任意代碼等。Microsoft已經發布了修訂補丁(KB835732)來解決這些問題。MS04011”。天助我也，這可是一個新東西，Windows最新的LSA溢出漏洞。通過這漏洞，我可以輕松的拿到這小子的主機權限。

　　十五分鐘后，面對屏幕我感到一絲寒意，我進去了。不過這是我才發現，此人竟然是留香客棧的二當家“雪柔”。蒼天不亡我，這個小丫頭片子的機器里肯定有我要的留香客棧的密碼。如果能夠得到留香客棧3389的密碼，何愁滅不了留香客棧？我不但要滅了留香客棧，我還要滅了所有留香客棧的這群大大小小男男女女的馬賊們。

　　雪柔的文檔夾中果然又一個名為SNKey的文本文件，難道這就是留香客棧的密碼？我下載回來打開一看，內容是這樣的：

　　黑白相間6顆棋子一次成排直線擺開，棋子左方有四顆空棋位。現在要將這六顆棋子移動成為3顆白色在左邊，3顆黑色在右邊。同時必須一次并列移動兩顆棋子，把他們一起移動到空位上，不可以更動棋子的順序，只可移動三次，用戶名和密碼即可得到。

　　　●○●○●○
 
○○○●●●

　　注：連接方式 3389

　　我思考片刻之后，手起刀落，滅了整個留香客棧……