我是如何”黑掉”91Ri的

这是以小编个人的角度简单描述:6月18日 91ri被黑的经过。本文其实挺早就写出来了,但是碍于一些事迟迟没发出来。发文的目的是为了让大家也注意到这种手段的攻击。

那是个美好的下午,小编正在奋笔疾书,终于写完了最后一笔,交了考卷走出了考场,心中无比喜悦:终于考完了,就等着放假了~

小编我习惯性的掏出了手机,准备约上妹子今晚出去逛逛。但是当我看到了5个未接来电,其中三个是G7同学的,还有两个是身在外地的好基友打来的电话,再看了一眼91ri内部群那么多信息,我就晓得出事了。

回拨给G7同学,他刚接电话就说了句:”网站什么情况,被人黑了?主页都给人改了?”听他这么一说,我心中无数只草泥马开始奔腾:”大爷的,黑就黑吧,还改我主页,要把我数据删了,我这不把他剁死。”

于是我以迅雷不及掩耳之势奔回宿舍,打开电脑看到了这么一幕。

h91_1

我沉思地点了点头:”这只熊猫我挺喜欢。”

打开了putty输入了网站IP,发现无法访问ssh,ping了下ip。果然,是被劫持了。于是一边联系IDC处理,一边开始人肉这个黑我站的小伙子了。

从页面判断,这个小伙子自称淫长,页面底部还有个淫长’s blog,点击进去,翻了翻,找到了腾讯微博。从微博看,还是个社会工程爱好者?难不成是看了我的《社工2》然后来挑衅吗。算了,还是继续啪啪啪了….(略去人肉过程,这个不是重点)

最后通过团队中的数位同学的共同努力以及一些特殊手段得到了包括这个小伙子身份信息,电话,家庭情况,照片,各种密码,好友信息等等。

此时IDC也给出了被黑原因:IP冲突

h91_2

在IDC帮我重启了机器后,向对方索要了一台机器,按我的思路试了一次,果然也成功了。

攻击过程

这里我将过程贴出,大家可以参考:

本机:攻击机器

目标:被攻击机器

1.新建一个网站,绑定目标的IP地址与目标域名(也就是你要劫持的域名)
2.添加一个新的IP到你的网卡上,这个IP地址是你要劫持的域名所在的IP地址。
3.MAC修改为同网段任意一台机器的MAC地址
h91_3刷新目标网站即可出现效果。

 

解决方案

方案其实不难,将机器与交换机做双绑即可。

后记

其实我个人依然还是感谢被指出存在问题,同时再此感谢下曾经通过旁注进来的两位同学:

LaTCue与 另一位不知名,但是留下了一个名为image.php的一句话shell的同学。感谢你们没有格盘和删除数据。如果有可以的话,也希望那位留下了一句话的同学联系下我们,大家认识一下,交个朋友。:)