第五百五十一章 漏洞百出(上)(2/2)

我们马上记住本站网址,www.wanxiangxs.cc,若被浏/览/器/转/码,可退出转/码继续阅读,感谢支持.

高克斯把官方的电脑连接上了另一台电脑上,然后他从怀里拿出了一个光盘,对着大家说道:“这是银行的atm控制程序,机器的一切操作都是由此程序控制的,感谢花旗银行提供光盘!我现在要在这台连接了atm机器的电脑上安装atmserver!”高克斯说道。

随后,高克斯放入了光盘,然后打开了光盘的盘符以后,直接安装了程序,不一会儿,程序安装完毕了,电脑上显示了发现了新硬件,正在加载可用驱动程序,驱动还是得在光盘上安装,把驱动安装好以后,atmserver就这样搭建好了。

运行一下安装好的软件,atm机的屏幕这个时候亮了,电脑上运行的那个软件界面完全和atm机器的界面是一样的,只不过电脑不可以触屏。

“电脑是一个载体,我们现在安装好程序了,现在我要为atm机分配一个ip地址,与一般的ip地址不同,这个ip地址必须使用国家互联网信息部分配给银行的ip,这是根据国家代号(我们中国代号是86)开头的ip,是绝对安全的!当然,再次感谢花旗银行提供。”高克斯说道。

接下来就是最引人瞩目的时刻了,电脑上显示ip已经是对号段了,也就是这台电脑处于m国内网,不会对外开放,内网ip外部访问不了。

高克斯从衣兜里面拿出了一捆钱,然后笑着对大家说道:“这是1万美金,大家都知道的,当然,这并不是花旗银行提供的,是我自己的!”高克斯幽默的言语让大家都笑了出声,他真的不是以前那个沉默寡言的高克斯了,他真的变了。梅卡看着高克斯那灿烂的笑脸,感到很欣慰。

高克斯把1万美元按照往常的大家的操作,插入了信用卡,分两次存入了银行,毕竟ip是内网的,连接的是银行的总数据库,所以高克斯这一次存款也算。

“哈哈,钱已经存进去了,准备工作已经完毕了,接下来我的演示就要开始了!”高克斯笑道,在场的众人已经激动万分了。

高克斯走到了官方准备的另一台电脑之中,“大家看好了,千万不要眨眼睛,精彩现在开始!可以不用去atm机里面插入信用卡,跳过验证,直接让它‘吐钱’!”高克斯说完后,开始移动鼠标了。

只见高克斯首先打开了命令提示符,输入了一个非常常用的命令,ping命令,ping的就是atm机器所连接的那台电脑的ip,当大家看到结果显示返回数据失败的时候,那也就是说明这个ip地址不存在。

高克斯之所以演示这个的目的无非就是想说明那个ip是ping不到的,只见他运行了浏览器,输入了ip地址,显示页面不存在,但是当他点击查看,查看源的时候,竟然发现了有内容。

短短的几行代码,细心的人都看出来了,在一行后面,多出了一个数字,6840,黑客对于数字是敏感的,既然有漏洞,那就尝试一下,6840首先想到的就是端口,往ip地址后面加一个引号加上6840,再次访问一下,竟然页面变成了404错误了,也就是说,这个地址是有源码的,“大家看到了这个是不是想到了什么,那么我们更进一步!”高克斯按照原来的步骤,再一次查看了源码,这一次不仅发现了新的端口号,还不止一个。

高克斯再次输入第一个端口号,发现显示不出任何东西,接下来第二个,也不行,第三个,一个个地测试,最终试到第六个的时候,终于再一次发现了可以利用的页面了。

又再用同样的步骤查看源码,这一次什么都看不到,就在大家以为没有任何规律可循的时候,高克斯打开了一个sql注入工具,有了工具肯定比手工输入一个个代码快捷地多了,只见高克斯输入了地址,加上端口,点击了注入,第一次,无响应,第二次,依旧无响应,第三次…第四次……还是无响应,这让大家认为高克斯是否搞得掂了。

高克斯从工具那里直接复制了一行代码,加入了网址的后面,测试结果是无响应,“大家是不是很奇怪?为什么每次都会无响应呢?”高克斯说道。

会场上议论纷纷,高克斯继续补充道:“atm机顾名思义是用来存取款的,存款以后就有后台数据了,如果,我在这段代码的后面加一个整数呢?结果会怎么样?”高克斯越说越平静,会场上的人都沉默了。

只见高克斯直接往注入代码里输入了一个整数,比如反馈为等式,加入了=%1000,高克斯轻轻地按下了回车键,接下来奇迹发生了,只见atm机的屏幕没有任何反应,但是出钞口却有反应了,一张张地美金从出钞口吐出来,会场上的气氛一下子到了最高潮,很多人都发出了惊叹声。

“让再多一点吧!”高克斯输入了“=%9000”,因为他之前已经吐掉1000了,存款10000美金只剩下9000美金,随着回车键一按,100元面值的美元源源不断地从出钞口吐出。

“我的上帝,太厉害了!”连艾薇儿也不禁发出了惊讶之声。

而黄非一脸平静地坐着,高克斯用的漏洞果然与他所想一样,利用atm控制端过滤不严谨,内网ip的分配不均匀,导致了致命的漏洞,不止m国这个地区的atm提款机,这个漏洞秒杀世界各地的atm机,如果放出去的话危害非常大,但是高克斯是早都发现了的,并且通知了世界银行机构,而且具体的一些关键步骤他省略了,所以并不用担心造成重大的危害。