如题,还是刷 B 站刷出乐子系列,原视频标题:
《 QQ 被盗后发布赌博广告,我一气之下黑了他们网站》
https://www.bilibili.com/video/BV1mK4y177Do
=============================================
我不知道 v2 有没有白帽子,怎么看这个视频。就我个人的开发人员范畴的网络安全知识来说,看完只能用老人地铁手机.jpg 来形容。他说的我每个词我都认识,连起来我就听不懂了。我不是指他说的过于高深听不懂,而是我感觉这个视频挺扯淡的。当然可能是我太菜了吧,欢迎各位指正
至于为什么点开这个视频,因为这个 up 已经连续好几天上 B 站的涨粉排行榜前几名了,我在 DD 的时候扫到的。所以新财富密码可能性微存?
=============================================
另外题外话,像他这种公开宣称黑了某某网站的,法律上真的没问题吗?我认识的“白帽子”谈网安相关话题的时候可都是很小心的
1
kokutou 2020-10-25 07:01:00 +08:00 via Android
太年轻
|
2
binux 2020-10-25 07:18:32 +08:00 via Android
你说对了,内容就是骗小朋友的。
1. 进程内部起个线程,又不是注入,不会分析不到异常。 2. 都 keylog 了,就为拿你个 QQ cookie 发个广告?这么良心的吗? 3. 一个直接 IP 访问的“域名”还要另一台主机做后台。闲的吗? 不过做黑产的真的能被假 flash 网站钓鱼?他说是什么就是什么吧 |
3
shiji 2020-10-25 07:22:58 +08:00 via iPhone 10
讲得像是我在小学时绘声绘色地跟同学形容啪啪啪的样子。像是我真啪了似的。
|
4
black11black OP @binux
我第一反应是 XSS 哪是像他说的这个东西,第二个是为什么会有人在服务器上打开网页浏览器,这才刚说两句,后面的更驴唇不对马嘴了 |
5
delectate 2020-10-25 07:56:56 +08:00 3
外行看热闹,内行看门道。一笑了之就好,千万别较真。
可惜 99.98%都是外行,别说 b 站,就是 V2EX 都有人信。 |
6
coderluan 2020-10-25 08:03:25 +08:00 6
我感觉这应该不是个人,而是机构的号,明显是在想复制一个网络安全领域的“巫师财经”,而且学的挺好,涨粉快是非常正常的,是套路但算不上财富密码,毕竟模仿也需要实力, 这个实力肯定不是技术,而是视频的选题文案视频制作能力,做好了对外行人的吸引立真的非常大的,猎奇地摊文学阴谋论,谁不爱看呢。
PS:当年知乎各种教你把卖片网站的收款码改成自己的文章,只要最后说自己报警就没啥事,毕竟人家只是意淫。 |
7
t6attack 2020-10-25 08:05:51 +08:00
关键步骤就这一步,其他都是水:
在注册页面填入 xss 利用代码,代码逻辑是:alert ( flash 插件过期)->点击确定后下载 flash.exe (木马程序)。 登录后台的管理人员完整执行了这个过程(点击了确定,下载并安装了这个木马程序)。并且此人电脑没安装杀毒软件,或者这个木马做了专业免杀。 |
8
phpfpm 2020-10-25 08:12:32 +08:00 via Android
httponly 是拿不到 不是拿到了不能用
通篇鬼扯。。。。 |
9
ladypxy 2020-10-25 08:12:49 +08:00
很假很假。。。看里面毫无干货就知道了,基本上可以说是虚构的。。
|
10
exploretheworld 2020-10-25 08:34:30 +08:00 via Android
正经人谁会说自己是黑客 doge
|
11
exploretheworld 2020-10-25 08:37:36 +08:00 via Android
中国的黑客都在监狱里,说自己是黑客的不是骗子就是傻子 Doge
|
12
EKkoGG 2020-10-25 08:49:38 +08:00
一眼假
|
13
murmur 2020-10-25 09:04:04 +08:00
你以为的黑客:发现重大网站漏洞,登入服务器帮助修补,清理痕迹,深藏功与名
社交网络的黑客:关注公众号黑客 xx |
14
maskerTUI 2020-10-25 09:17:19 +08:00 1
xss+木马确实可以搞下一个网站后台管理员的电脑,但是这表达方式我觉得这故事是假的。
另外对警方和反诈骗工作的期望也不要太高了,大多数时候一言难尽。 |
15
avenger 2020-10-25 09:18:16 +08:00 via iPhone
有一说一 不看内容 视频做的挺好的
|
16
iv2s 2020-10-25 09:30:09 +08:00
这精的很,敢发出来的,肯定不违法。
|
17
santheniko 2020-10-25 09:39:53 +08:00
@binux
1. 他说的那个授权器有问题吧,类似于带有木马的注册机? 2. 拿 qq 发涉黑产的广告其实很正常,但是只发广告确实不正常。qq 时不常的就有人被盗号,然后群发一些诈骗广告。之前有个渗透老师傅被黑产搞的那个文章不知道大家有没有读过。实际现在黑产体系还是很完整,能拿到你的 qq 密码,就能干很多事情。支付宝,微信,各种依靠邮箱登录或者邮箱作为安全邮箱的网站的等等各类软件都存在被吃掉的可能。 我个人感觉这个视频的内容是硬攒出来的“网安”科普向视频,如果把案例搞的太复杂 B 站用户听不懂也没兴趣。把攻击过程尽量描述的简单化,抹去很多关键细节让故事性更强。非从业者(甚至是邻居领域的从业者)基本不会对内容有什么怀疑。 真正老师傅的视频 /文章(前好几年见过,但最近基本看不到了),基本和 writeup 区别不大。如果给出一些对面实际的信息,你甚至能对着他的文章复现。 |
18
Oceanhime 2020-10-25 09:43:54 +08:00 via iPad 6
你看一下视频评论区里那几个蓝色认证官方号,就知道目的是什么了
|
19
Kilerd 2020-10-25 10:06:31 +08:00
A IP 做前端,B IP 做 admin dashboard,那么问题来了,他是怎么找得到 B 这个 IP 的。
|
20
revalue 2020-10-25 10:31:43 +08:00
有个叫 魔宙 的公众号,看过吗?声称“半虚构”,似真似假,这样连 行内人、行外人、审查 都能糊弄过去
|
21
jjplay 2020-10-25 10:34:59 +08:00 1
辛苦这剪辑师了,没有任何一张实拍实图 就拿边边角角的素材给拼凑了一个视频,整挺好....
|
22
binux 2020-10-25 10:38:23 +08:00 via Android
@black11black xss 从技术上没问题。别人不是从服务器上打开的网页,而是在访问的时候
|
23
binux 2020-10-25 10:39:44 +08:00 via Android
@binux 是在访问服务器的时候被 xss 拿到的后台地址 cookie 和被钓鱼的。刨除人的因素和运气,从技术角度讲,这是可行的。
|
24
black11black OP @binux 是我理解错了,我以为他用 XSS 将木马上传到服务器上,然后通过 js 来 triger,最终实现拿 shell,这不是我所知的 XSS,很魔幻。所以你的意思他是通过 xss 注入实现用户访问时执行第三方代码,然后偷到了管理后台的 cookie,这一步他是如何实现跨域的呢。
|
25
black11black OP @Oceanhime 感谢,最有价值回复。看了一眼都是教学,他有什么变现途径吗?难道会有人看了这个视频去买“黑客教学课程”?
|
26
binux 2020-10-25 10:53:46 +08:00 via Android
@black11black 不跨域啊,他描述中用的是存储型 xss,在哪个域打开都行。比如赌博网站管理员在后台打开,那就拿到后台域的 cookie 和地址了呗。
|
27
hoyixi 2020-10-25 10:58:25 +08:00
自媒体的定义: 开局一素材,内容全靠编
|
28
wanguorui123 2020-10-25 11:06:46 +08:00
科普视频
|
29
DaRenCC 2020-10-25 11:34:38 +08:00
@coderluan 模仿“终结诈骗”,但是很多截图证据不清不楚的,只会甩一些词显得高大上,基本上可以判断是抄袭讲别人的故事,也没有“终结诈骗”那么专业
|
30
locoz 2020-10-25 12:29:51 +08:00 via Android 2
这个号是之前「我会永远在你身后」(已经卖给另外一个团队了)那个公众号号主的朋友(?)搞的,也是故事流风格,内容半虚半实,别较真,较真起来一堆毛病。
不过他们的至少还有一半实的部分,某个仿他们号的人的故事连实都没有,纯粹拿那种黑客小说改编…编完故事火了之后就拿抄别人的安全领域入门级教程割韭菜,最后被个闲着无聊的从业者扒得底裤都没了。 |
31
hoyixi 2020-10-25 12:33:33 +08:00
@locoz #30
对韭当割,人生几何。逆淘汰环境,傻瓜太多,你不割,总有人割,而且割了也没风险,个个赚得肚肥肠圆,老实人只能苦哈哈加班。 |
32
haomaming 2020-10-25 12:37:05 +08:00
@exploretheworld 真黑客都被收编招安了
|
33
locoz 2020-10-25 12:38:07 +08:00 via Android
另外,这个财富密码的红利期应该差不多过了,之前一堆类似的号编故事都编了一年左右了,看的人也该看腻了…毕竟都是大同小异的内容,基本没啥实际的东西,也就只有在涉及到现实侦察的故事里能看到一些比较有意思的刑侦工具(比如隔墙监听的工具、利用红光+红色滤镜找摄像头的工具等),除此之外的故事都是那套操作。
|
35
locoz 2020-10-25 12:46:00 +08:00 via Android
@haomaming #32 不一定的,做黑产赚的钱是白帽子的几十上百倍,总会有人铤而走险,黑白通吃的也有。
|
36
locoz 2020-10-25 12:52:44 +08:00 via Android
@black11black #25 确实有的,之前某个人就这么靠课程割了至少 15w,接广告还赚了至少 10w 。
|
37
illl 2020-10-25 13:03:35 +08:00 via iPhone
从做法上来说理论上是可以实现的,不过话说 2020 年还用 flash 嘛?
|
38
Mac 2020-10-25 13:11:22 +08:00 via Android
键盘黑客,反正 b 站知识区现在一群妖魔鬼怪,要不是教程也在知识区,我想把整个区都拉黑
|
39
fiveelementgid 2020-10-25 13:11:51 +08:00 via Android
培训班账号?( ̄ヘ ̄;)不懂?有可能是小朋友闹着玩的
|
40
crab 2020-10-25 13:21:22 +08:00
运行可执行软件本来就危险,拿到 QQ 客户端 uin skey 什么权限都有了。
|
41
black11black OP @locoz 感谢扒底裤。所以这么说来的话他这个所谓的最快涨粉,很大程度上也是刷出来的吧,毕竟从业人员,看来也不是那么的财富密码
|
42
geebos 2020-10-25 13:31:31 +08:00
太假了,看着都尴尬。估计后面要被锤。
|
43
mokeyjay 2020-10-25 14:00:41 +08:00
通篇都是素材拼凑,没什么干货,菜的要死,估计就是个营销号
|
44
laydown 2020-10-25 14:20:27 +08:00
把这样的视频当作某种爽片来看就行,当不得真。
|
45
kernelpanic 2020-10-25 14:21:10 +08:00
技术上来说, 没什么问题, xss 弹窗诱导安装远控客户端, 但是不论别人是不是黑产, 这样做都构成了非法入侵计算机系统罪
|
46
GeekSky 2020-10-25 14:27:45 +08:00
你们还从技术角度去分析,从他读稿的语气我就听出来是假的……
|
47
ochatokori 2020-10-25 15:01:50 +08:00 via Android
草,我要哮死了
|
48
hellowmykami 2020-10-25 15:17:33 +08:00
看的挺尴尬的。
|
49
jqtmviyu 2020-10-25 17:00:03 +08:00
看完, "就这?"
故事讲的不如公众号"一本黑"老师傅的跌宕起伏 |
50
stabc 2020-10-25 17:08:36 +08:00
在我印象里,真正懂的人都是把道理说的很深入浅出,直白易懂。而忽悠人的大多是填充各种专业词汇,通过难懂的话把人镇住。
|
51
Heiban 2020-10-25 17:14:20 +08:00
被推荐过,看标题就能知道大概的内容了,如果真是把别人给黑了的话根本不可能过审。
讲个故事,蹭个热度,赚个播放量,这个视频的任务就算完成了。 |
52
phithon 2020-10-25 17:29:30 +08:00
懒得看。黑客故事没一个是真的。
|
53
songer 2020-10-25 18:03:18 +08:00
认认真真讲技术反而只有对这门技术感兴趣的人才会去看,不如直接编故事,扩大受众面,成本还低,还能嘎韭菜。
|
55
ncepuzs 2020-10-25 21:23:31 +08:00
等到百万粉丝自会有人锤
|
56
xingyuc 2020-10-26 11:22:23 +08:00
B 站搞技术视频的不大都是买课程的
|
57
hi543 2020-10-26 18:25:35 +08:00
头条里也推给我这个视频了,而且我还看完了。
关键点是他是用 xss,弹 alert,然后下载他植入病毒的 exe 。 真假我不知道,原理上来看是可行。 |
58
kekeabab 2021-08-19 11:04:52 +08:00
地铁老人手机,不是营销号就是小学生,大概看了眼视频列表全是水货,菜的要死,哪有一个有技术含量的,全靠一张嘴,科普还行。批站妖魔鬼怪是真的 nb 。
|