致敬黑客前辈 这些年我们用过的安全工具
ArthurKiller
前言
每一段岁月,都会留下属于时代的记忆——那些年,我们所追逐与热衷的安全工具,亦是如此。
在那个信息不对称的年代,安全工具主要是在小圈子内传播。当年天真的我们(脚本小子),以为网络就是江湖,一套完美的工具就是你的兵器——路见不平一声吼,碰到注入亮阿D。
注:由于年代久远,当年的工具大多已停止更新,如今网上所能搜到的又可能携带后门,所以本文中就不提供下载地址了
阿D注入工具
简介第一个介绍的肯定是阿D注入工具。那个时候大家都不大会用SQLMAP,或者根本没听说过。当时对SQL注入检测工具最出名的就是阿D注入工具了。阿D除了最基本的注入检测外,还可以注入出数据库的table表,字段和内容等。更重要的是,阿D注入工具还内置一个浏览器,通过浏览器访问Google(那些年Google还没被屏蔽)搜索关键字,则可以查看哪些域名有注入,哪些域名没注入。在当时信息缺乏的时候,阿D注入工具在国人心中的地位不亚于当今的Metasploit。
作者
阿D注入工具的作者就叫做阿D,真实姓名不详。目前阿D注入工具已经停止更新。阿D目前正在研发自己的D盾防火墙,平时也会挖挖漏洞。
明小子
简介明小子的出现比较神秘。据说是从黑客吧这个网站上泄露出去的。明小子除了简单的SQL注入检测和Google页面注入点扫描外,还有多种webshell上传方式(payload上传)。以前国内网站的安全做的都一般,一般如果webshell没法上传的时候,就靠明小子来绕过上传机制。
作者
据说明小子的作者网名就叫做明小子,真名叫做林小明。中国黑客吧(www.heikeba.com)的站长。由于出售网银盗号工具,木马病毒等黑客软件,在2007年被公安机关抓捕归案。
中国菜刀
简介如果说metasploit是美国黑客的代表工具,那么中国菜刀就是国人心目中的骄傲。记得才去美国上学的时候,那边的人都不知道中国菜刀这款工具。当时我就为他们演示了一下。短短的一句话后门,就可以获得服务器的整个权限,并且还能够对服务器的目录进行查阅,执行命令等操作。当时那些老外的表情完全是WTF?!当时心中只有满满的自豪感。菜刀的官网是http://www.maicaidao.com/,目前网站已经关闭。
作者
关于菜刀的作者,在网络上有很多的说法。有人说他是一个退伍的老兵,有人说他是一个大黑客,黑过国民党的服务器,还有人说他在工具里面植入了后门,甚至还有人说他是360云查杀的开发人员之一。那么你们是怎么看的呢?
LCX
简介LCX是当时内网渗透或者提权的主要工具之一。一旦对方服务器3389端口被关,第一时间想到的就是LCX。进入webshell,上传LCX和CMD,然后CMD下开启LCX进行端口转发,随后开启远程桌面连接。看着拿熟悉的windows server界面,别提有多激动了。
作者
Lion,HUC (中国红客联盟)的创始人,真名叫做林勇。LCX就是Lion的作品之一。2011年,Lion说要重组HUC,但是之后就离开了。有人说他跑去炒股了,也有人说他跑去开公司了,甚至有人说他被招安了。
Lion的微博:http://t.qq.com/coollion/。
Lion的QQ号:21509
御剑
简介御剑是一款网站目录扫描的工具。以前通过SQL注入漏洞得到管理员账号和密码后,第一时间想到的就用御剑扫描一下网站,看看能不能扫到后台地址。到后面,御剑不仅能够扫描web目录,还能搜索同IP段的网站,或者C段的网站。作者在2014年对御剑进行了一次更新,随后在也没有音讯。
作者
御剑扫描器的作者网民叫做御剑孤独,也有人叫他遇见孤独。QQ号是343034656。据说是Tools安全小组的成员。网上对该作者的描述极少,我们也没办法挖掘出更加详细的信息了。
流光扫描器
简介这个工具可以探测POP3、FTP、HTTP、SQL、SMTP、IPC$等各种漏洞,并针对各种漏洞设计了不同的破解方案,可在有漏洞的系统上轻易得到被探测的用户密码。当时做局域网的渗透最喜欢用流光。初中时候,跑到学校机房,流光打开,把同网段的机子全部扫描一遍。老师在上面讲课,我们就在下面扫描老师电脑的各种端口,可开心了!
作者
没听说过流光的肯定听说过黑客小榕,曾经和Lion一同参加中美黑客大战,从此名震一时。
网名:小榕
性别:男
出生日期:1972
婚姻状况:已婚
资历:中国CAD/CAM协会会员,高级程序员
代表作品:乱刀,流光,溯雪,流影。
冰河
简介现在这个时代,由于安全产业的迅速发展和完善,大家已经无法再看到大规模的特洛伊木马传播的情况了。那个时候,360还只是一个数字,小狮子(瑞星毒霸)还在收费,并且国际上众多的杀毒软件的杀毒效果都不太理想。当年那个时候,随便上一下网站就可以中毒。在这种情况下,冰河诞生了。冰河是一款非常优秀的远控软件。这个远控软件不仅能够自己生成后门程序,还可以实时监控肉鸡的情况,比如系统版本,是否上线,是否有摄像头,IP地址,物理地址等。那个时候,1433端口漏洞还没被完全修复。大家闲着没事情就用冰河配合1433端口扫描器自动抓取肉鸡。冰河最开始只有1.0版本,在使用的人数十分众多后,又开发了多个版本,但是由于影响力巨大,作者最终停止了对冰河木马的更新。当时的冰河在国内影响力十分广泛,和当今的MSF有得一拼。
作者
网名: glacier ,木马冰河
真名:黄鑫
毕业院校:西安电子科技大学
工作:网络安全网站“安全焦点”
性别:男
99年,木马虽然已经在黑客中间遍布使用,但多数为国外的BO和BUS等木马,对于一些刚接触黑客的生手来说,理解这些软件的使用方法和熟练使用这些软件无疑成为了“通往黑客道路”上的最大的难题,此外这些木马多数能够被杀毒软件擒获,使得国内的黑客多数不愿意去用木马。正当国内大多数黑客们苦苦寻觅新的国外木马时,一款中国人自己的编写的木马悄悄诞生了,它就是冰河。冰河在诞生之初凭借着国产化和暂时无杀毒软件能防杀的特点迅速地成为了黑客们使用最广泛的木马。冰河本不该归属于木马的行列的,按照冰河作者黄鑫的话说,他编写冰河完全是靠自己的兴趣和网友的鼓励,最初只是想编写一个方便自己的远程控制软件,不曾想竟然编成了一个中国流传使用最广泛的黑客软件。
Netfuke
简介Netfuke是以前非常出名的一款ARP欺骗工具。以前如果某个网站非常难搞下来,第一个想法就是先把这个网站服务器的C段或者旁站内的网站给入侵提权了,随后再搞一个ARP欺骗。早些年的时候,网址的防火墙不像现在那么普及和完美,ARP欺骗分分钟的事情。当时这个工具也是大家常用的装B利器!
作者
笔者尝试在google海量文档中搜索该工具作者的信息,可惜无一收获。
Pangolin
简介在阿D之前,Pangolin(穿山甲)注入工具应该是中国史上第一款自动化注入工具。这个工具提供了多个国家语言的版本。穿山甲注入工具不仅仅可以得到数据库的基本信息,还可以获得服务器的系统版本号,数据库管理员名称等信息。
作者
白帽汇的赵武大家应该不大陌生,没错,他就是Pangolin的开发者。赵武的网名叫做zwell。目前就职于北京白帽汇科技有限公司。实际上穿山甲注入工具一直在更新,只是已经不再对外开放了。
赵武的微博:http://weibo.com/u/2033280760
唐山味儿不浓
简介以前杀毒软件查杀病毒主要是靠特征码进行查杀。那个时候,哪家公司的病毒特征码库全,哪家公司的杀毒软件就牛B。当时什么云查杀,行为查杀都还停留在思想阶段。所以当时要种植木马十分简单,改变病毒的特征码即可。唐山味儿不浓是一款windows下对文件特征码进行改编的工具。用这个工具对一个病毒生成数十种不同特征码的版本,然后再用杀毒软件扫描一次。遗留下来的几个病毒样本就是“毒王”了,基本已经绕过了杀毒软件的特征码查杀技术。软件的截图实在找不到了,笔者只依稀记得软件的图标是一个熊猫。
作者
唐山味儿不浓的作者就叫做唐山味儿不浓。今年已经34岁了,有两个宝贝女儿,并且也早就停止对于该工具的更新。这里我就不粘贴他的联系方式了,也祝愿作者阖家欢乐!
Havij (胡萝卜) SQL注入工具
简介Havij是国外一款收费的SQL注入工具,但是被国内的网友给破(bao)解(ju)了。这款工具的功能和pangolin有些相似。除了数据库信息以外,也可以获得一些基本的服务器系统信息。
作者
Havij的作者据说是GaurangThakor,但是也有人说GaurangThakor只是负责发布Havij的更新信息,这里我们无从考证。但是让我震惊的是,Havij到目前为止依旧在更新着。目前已经更新到了2016版本,并且已经又收费模式变成了免费发布。
WinSock Expert
简介那些年,burpsuit还只是幻想。说起抓包,第一个想到的就是WinSock Expert。200多KB大小的软件,但是却可以清楚的抓到HTTP数据包。对于那个时候的我们来说,WinSock Expert就是个神器!
作者
WinSock Expert的作者应该是个老外,后面由中国人负责汉化和整理。它只是一个非常小的工具,也没有对其进行更新,对作者的描述也没有。这里只能感谢作者的默默付出。
Eval虫子专用版本
早期接触安全圈的人对这个工具应该很熟悉,它就是中国菜刀的基本雏形。通过简单的一句话后门对整个web服务器进行控制和管理。
作者
这个工具的作者就叫做虫子,网民叫他cnxhack,是Tools小组的成员,虫子这个版本是根据原作者lake2(二胡)开发的1.0版本修改的,目前已经停止对该工具的更新,原作者的邮箱号是lake2@mail.csdn.net。
Cain
简介无Cain,不内网。在以前那个时候,如果碰到内网的主机是winodws系统的,第一时间想到的就是Cain!它的功能十分强大,可以网络嗅探,网络欺骗,破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议,甚至还可以监听内网中他人使用VOIP拨打电话。那个时候,能够称霸黑客界的工具,除了Cain,再无其它!
作者
Cain的作者是一名意大利安全工程师,真名叫做Massimiliano Montoro。这个人还创办了oxid.it。在linkdein上有他本人的详细信息。
网络刺客
简介网络刺客的功能和Cain有一些相似。用它可以轻松搜索出局域网里有共享的主机,然后对共享机器的共享资源进行扫描,并且猜解共享密码;其嗅探器功能还可截获局域网中使用的POP3、FTP、Telnet服务时的密码。目前改工具唯一的一次更新是在2015年,也就是网络刺客 2.0版本。
作者
说起陈伟山,可能大家都不太熟悉,但是大部分人都听说过天行这个ID。陈伟山的网络ID就叫做天行。他从事信息安全行业比较早,大概是在1996年左右,属于国内的第一代黑客群体,那个时候的我们都还娘胎里面的。他最早曾经在中国电信工作,有不少丰富的互联网创业经验。2000年的时候跟合伙人一起建立了深圳第一家互联网安全公司。目前,他是天英教育的创始人,主要致力于教育产业。
灰鸽子
简介该软件除了支持正向连接外还支持反向连接,即客户端可以自动请求服务端连接,此外还有摄像头控制功能。金山软件公司在2007年曾经指责灰鸽子是“一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链”、“危害超出熊猫烧香10倍”,并摆明立场全面围剿灰鸽子。灰鸽子工作室在该年停止版本更新、注册服务,并关闭官方网站。常见的灰鸽子免杀技术有:加壳压缩、加花、修改特征码、修改程序入口点。另外在互联网上也存在着免杀版本的灰鸽子,并且不断更新。因为大多做了免杀汇编处理,所以对其客户端的查杀比较困难,大多数杀毒软件也无法识别它为病毒。
灰鸽子的作者是葛君。说灰鸽子是病毒,到不如说它是一款优秀的远控软件,这件事情还得从之前说起。1982年,葛军出生在安徽省安庆市的一个普通农民家庭。。小时候学习成绩也不好,但是自从第一次接触到电脑游戏后,就迷恋上了电脑。后面他老爸也没辙了,学习不好也不能不上学吧,那么怎么办呢?去学电脑吧,当时葛军的老爸做了个很明智的决定,为葛军报了一个电脑培训班。当时那个年代,电脑培训班也交不了你什么,差不多就是开机关机,打开网页之类的。某位老师告诉葛军,你现在所学的电脑知识仅仅是一些应用上的东西,如果你想真正的了解电脑,操纵电脑,一定要好好地学习编程。葛军苦苦哀求自己的父亲购买一台电脑,当然,最后葛军的父亲还是同意了。然后葛军就购买了很多的编程书籍开始学习。慢慢的,编程基础也有了,但是葛军发现学校的电脑老是中病毒,好奇心的驱使让葛军编写了第一个自己的电脑病毒–哎灵病毒,然后葛君又开发了自己的第一款远控软件,灰鸽子。葛君当时没想那么多,只是想单纯的把它当作一个远程控制软件,结果发布在互联网上后又很多人把它当作病毒来用。那个时候国内的杀毒软件厂商不高兴了,就说我要把你当作病毒来处理。葛君心里估计有千万只草泥马飞奔而过,心想劳资网站都开起来了,准备出售软件了,你却把我的东西当作病毒查杀?这个时候灰鸽子程序自带特征码更改,加花指令等免杀技术。安全厂商一看技术斗不过了,那么怎么办呢?找媒体吧。在媒体的大肆曝光后,灰鸽子停止了更新,并且网站一度关闭。直到2013年起,灰鸽子相关(TM)商标由潍坊灰鸽子安防工程有限公司注册,意在将灰鸽子开发成为一款合理的正规的远程控制软件。灰鸽子的官网是http://www.hgzvip.net,并且目前可以正常访问。
结尾
当年的流行安全工具还有很多,比如白金1433抓鸡工具,挖掘鸡等,这篇文章只能算做抛砖引玉。
有些故事还没讲完那就算了吧
那些心情在岁月中已经难辨真假
如今这里荒草丛生没有了鲜花
好在曾经拥有你们的春秋和冬夏
她们都老了吧 她们在哪里呀
幸运的是我曾陪她们开放
而当年的“黑客”们,有的已经成家享受天伦之乐,有的已经走上人生巅峰,有的在监狱内仰望今生…..从某种意义上说,正是他们所编写的那一个个安全工具,才有了今天中国蓬勃新生的信息安全产业。即便他们离开了这个圈子,但那份情怀已永远地保留在工具中,深藏在于互联网的某个角落。