再次很嚴肅的提醒，「中國黑客傳說」系列不是小說，而是根據我的親身經歷、親眼見聞、親自訪談而寫成，沒有杜撰的情節，也沒有集多人的事跡于一人身。

世界比你想象的更大

各位朋友們還記得我在上篇《中國黑客傳說》中提到的A君嗎?

「他是我所認識的最強大的地下黑客之一，在本文中我姑且稱他為V。

之所以是之一，是因為我還認識另外一個叫A的黑客，A宣稱自己成功入侵了包括Google、、

Twitter等你幾乎能叫得上名字的所有大型互聯網公司。」

—- 摘自《中國黑客傳說：游走在黑暗中的精靈》

V的故事已經講完了，今天我們就來說一說A君的故事。

啟蒙時代

A君從小學6年級開始學習Pascal編程，而和他同齡的大多數孩子在那時還只會看卡通和打電玩。

到了2001年時，中美黑客大戰爆發了。受中美黑客大戰的影響，A開始對黑客技術產生了濃烈的興趣，那一年他還不到15歲。

中美黑客大戰是中國互聯網歷史上里程碑的一次事件，影響了整整一代人。很多現在的優秀黑客和安全專家，都是從那時起投身進入這個領域的。如果沒有中美黑客大戰，也許像A這樣的人就不會脫穎而出成為一名黑客，而是會默默的在大學畢業后成為一名軟件工程師。中國從來不缺乏優秀的人才，缺乏的是培養人才的土壤和契機。幸運的是，黑客大多出自草根之中，靠自學而成長。

在中美黑客大戰后，一個偶然的機會，還在讀初中的A發現他的英語老師正在瀏覽一個黑客網站，其實他當時是來問一個英語問題的。當時A就像發現了一片新大陸一樣，纏著英語老師想要學黑客技術。

「我也喜歡電腦，還會一點點Pascal編程。」

英語老師經不起軟磨硬泡，也許是感覺到了這個孩子的靈氣十足，就答應了。A從此踏上了成為一名黑客的道路。如果不是這次偶然的機會，A的黑客之路也許還要晚個幾年，但A早已心神向往之，他遲早會早上這條路，他是命中注定要做黑客的人。

從英語老師這里，A學會了一些基本的攻擊技巧，如弱口令破解、IPC$管道入侵等。A開始利用這些技巧在網絡上尋找弱點。英語老師還給了A一些中文和英文的黑客站點。對于看不懂的英文站點，年少的A只得抱著一本厚厚的牛津字典，一個詞一個詞的看國外黑客討論技術問題。

很快A就對黑客技術入迷了，使用電腦的時間也大幅增加。很小的時候，A家中就有了電腦。說到此處，我不得不感嘆一個好的啟蒙環境對人成長的重要性，如果A的父母沒有這么重視孩子的培養，如果A不是這么早的接觸到計算機技術，也許不會造就像A這樣出類拔萃的黑客。

為了A的學習和成長考慮，他的家人開始限制他使用電腦的時間。但就像大多數人的童年一樣，與父母斗，其樂無窮。

為了不讓A無節制的玩電腦，父母把鍵盤給拔下來鎖到柜子里。A就自己湊零花錢買了一個鍵盤，藏在家里的沙發地下，趁父母不在的時候就拿出來用。后來父母把網絡停了，這招比較狠。A就想辦法去同學家借電腦來掃描弱口令，盜用別人的帳號上網。那時候還是163撥號上網的年代，上網的費用也比較貴。

上了高中后，A獲得了一臺夢寐以求的筆記本電腦，那是一臺淘汰下來的IBM T20，是他的表哥給他的。A的表哥也是他的電腦啟蒙老師，教他Pascal編程的人。自從得到自己的筆記本電腦后，A的學習效率大大提高了。在這段時期內，A開始學習C和Python編程，并經常混跡于水木清華BBS、Linux中國、等論壇。雖然很多文章看的一知半解，但強烈的求知欲迫使他更加努力的學習。

他開始啃「TCP/IP三卷」、「80×86匯編語言程序教程」、「C語言程序設計」，而這些書，大多數的專業學生在大學才會開始涉及。在安全方面，則開始啃xfocus的幾位大牛寫的「網絡滲透技術」，這是早些年國內在安全方面最好的著作，以生澀難懂著稱，但能啃下來的人，在內存攻擊這方面的基本功肯定就扎實了。

有一次，A在書店看到了「黑客X檔案」的雜志，回去就訂閱了全年。這本雜志致力于介紹各種黑客工具、入侵方法和技巧，對A后來的成長幫助頗大。

黑客的愛情

也就是在高中，A經歷了他的初戀。

女孩是他曾經的同桌，朝夕相處下，情愫暗生。有一次愚人節時，女孩半真半假的對A說：「我喜歡你」。笨拙的A以為僅僅只是一個玩笑，一笑而過。等到暑假要分班時，A卻明白了自己的心意，他真的喜歡上了這個女孩。可是男孩臉嫩，不好意思開口，怎么辦呢?黑客自然有黑客的辦法。

A為此專門花了一個暑假的時間，寫好了一個QQ盜號木馬。當時QQ的安全防護還很脆弱，學校機房也沒有裝殺毒軟件，但是裝了還原卡。A摸清楚了女孩班里上計算機課的日程表，然后利用課間休息的機會把木馬偷偷安裝在了教師機上，并寫了個批處理自動推送任務把木馬安裝到了所有學生機里。

于是A順利拿到了女孩班所有同學的QQ號和密碼。他登錄了女孩的QQ后，新建了一個名稱很肉麻的分組，把自己的QQ號給拉了進去。過了幾天后，A發現新建的分組被刪了，于是又添加了一次。反復幾次后，女孩終于來找A了。于是發生了以下狗血的對白：

「其實在之前愚人節你說喜歡我的時候，我是多么的希望那天不是愚人節啊。當時我沒答應其實是因為拉不下面子，等答應后你說那是愚人節，我想多了。直到分班后，我才發現自己可能真的喜歡上你了。你做我女朋友好不好?」

女孩不做聲。這時候A竟然像吃錯了藥一般鬼使神差的來了一句：

「要是你不答應，我就把你QQ上的分組信息說出去，說你暗戀我還不承認!」

女孩白了A一眼，罵了句「神經病啊!」，轉身就頭也不回的走了。

第一次表白，以慘敗告終。

不料禍不單行，一個月后，東窗事發，在教師機里放的木馬被老師發現了。

那時候A還沒什么經驗，不知道怎么擦屁股，留下了明顯的個人信息。A被老師叫到了政教處，教育了好幾個小時。那是A第一次被叫到政教處訓話。還好老師比較好，只是口頭警告和寫了一篇800字的檢討。可惜這篇800字的檢討似乎沒有發揮應有的作用，A依然我行我素，特別是在學習黑客技術，以及對女孩的感情攻勢上。

A見上次表白時的威脅對女孩不管用，就又使出了死皮賴臉軟磨硬泡的功夫，每天在校門口去堵女孩：

「不答應我就一直跟著你走，讓人看到我和你在一起!」。

不知是真的擔心被人看到，還是女孩其實原本是喜歡A的，她最后答應和A在一起了，但只能偷偷摸摸的。

講到這里，A不由感嘆道：「想想現在的孩子，初中就光明正大的談戀愛了!」

兩人的關系一直維持到了高中畢業，女孩出國了，A也去外地讀大學，從此各奔東西。

貴人相助

在高中時，A遇到了另外一個改變他一生的人。

那時候，A流連于各大技術論壇，但一路摸索很痛苦，因為只是一個人，沒有人教，沒有人引路。很多自學成材的黑客都有過這么一段孤單寂寞的時光，能熬過去的，脫穎而出，熬不過去的，淪落平庸。那時候A去BBS提問，得到的最多回復都是「RTFM」(去讀他媽的使用手冊)。這種情況直到2005年A遇到他的師傅時，才有所改善。

當時是在Debian的IRC里，A為了弄清楚Debian下Apache分配權限的問題，用夾雜著語法錯誤的「」去請教眾人，很快就收到了一個美國人的熱心回復。后來這個美國人還很耐心的講解里面的細節，甚至做了圖文教程用郵件發送過來。A大為感動。從此他們跨越太平洋，建立起了半師半友的關系。

A的師傅是一個地道的美國人，而非華人。

在此時期，A的師傅組建了一個不到10人的地下黑客組織，A也順理成章的加入其中成為了一員。這個組織的成員來自世界上不同的國家和地區，在全球范圍內從事著黑客活動。因為是地下組織，所以A不愿意透露名字，或其他具體信息。

上了大學后，A更加的自由了。翹課成了A的家常便飯，因此還差點沒能拿到畢業證書。

大一的時候。A的師傅建議他學Lisp語言，說Lisp是多么的優秀啊。

A回想起這段時光：

好吧，我在想既然都這樣說，那我就去試試吧!于是我痛苦的人生開始了。

不是Lisp有多難學，只是語法太爛了，被那無數的括號搞得我幾乎崩潰。我去社區訴苦，卻被一大堆的理論砸過來。而這些理論在Lisp社區幾乎隨處可見，比如說：『Lisp的括號只是表面現象;Lisp有強大無比的元語言能力，程序員可以寫出自我維護的代碼等等』。

好吧，當時對我來說這些理論就是一坨狗屎。對我沒有絲毫用處，我陷入了困惑之中。但是看到那一群比我更聰明，更優秀的家伙都在贊美Lisp，也就是說Lisp的神秘之處肯定還沒被我發現，懷著好奇心我堅持了下來。

半年多的噩夢，我看到了沙漠中的綠洲。我明白了，明白Eric Raymond’s 所說的：

『Lisp is worth for the you will have when get it;

that will make you a better for the rest of your days,

even if you never use Lisp itself a lot.』。

在此之前我根本不懂這是什么意思，但我堅持下來后，我懂了。一個優秀的黑客必然是一個優秀的程序員。

我掌握了Lisp，掌握了Lisp的編程思想，在后來寫程序，調試Exploit的時候給自己帶來了很多意想不到的驚喜。」

A后來感嘆道：「遇到我的師傅，是我這輩子最大的幸運，如果不是他，或許我不會在安全上走這么遠。」

現在看來，可以說是A的師傅改變了A的一生。人的一生中，總是會遇到那么幾個對他最重要的人。對A來說，這個人就是他的師傅，一個遠在大洋彼岸的美國人。

叱咤風云

隨著A加入地下黑客組織，有人共同交流和學習，A的黑客技術開始獲得突飛猛進的成長。

有一段時間，A熱衷于研究「安全公司研究人員」的行為。是的，你沒有看錯，A入侵了世界上的很多安全公司，然后看這些公司都在干什么。從這些安全公司研究人員的課題與研究方向上，看全球網絡安全動態。

A讀著這些安全研究員的分析樣本以及筆記心得，覺得是一件很有意思的事情。這就像膽大包天的飛賊把警察局給偷了一樣。

比較搞笑的是，A入侵安全公司后，往往還伴隨著意外的發現。比如他發現某一家參與微軟MAPP計劃(微軟會提前披露漏洞細節給合作的安全公司，以方便安全公司改進產品，一般這意味著微軟對該公司的認可)的安全公司，其內網某臺服務器上竟然存放著超過100G的愛情動作片。

還有一次，他意外發現某安全公司的病毒分析師(女)給她男朋友戴綠帽子的全過程，A讀到了她劈腿的所有聊天記錄。那次A本是想挑戰一下自己，滲透進這家公司的內網。當時先偽造了一個郵箱投遞了一封郵件過去，附件帶上了一個PDF的0day。對方的工程師中招后，A發現卻是在Vmware的虛擬機環境中。于是A再利用了一個Intel芯片的漏洞，完成了虛擬機逃逸，控制了工程師的宿主機。

整個攻擊過程如同行云流水一般，安全公司的防御手段在A面前就像紙糊的一樣。那次滲透A最終拿下了內網20余臺服務器。

最讓A毀三觀的，是有一次入侵了歐洲某安全公司，然后發現這家公司的安全經理(男)和一個男員工的基情。因為他們的內部郵件用的Outlook并沒有加密，同時ICQ的聊天記錄也被監控了，所以能看到所有的通信往來。那次A和他的小伙伴們一直圍觀了20多天，三觀盡毀。

因為長期潛伏在安全公司內部，所以安全公司的研究進展對于A的組織來說毫無秘密可言。A了解到，大多數安全公司的技術，比他們要落后2到3年。比如前面提到的用于虛擬機逃逸的Intel芯片漏洞，他們在2009年就寫出了可利用的代碼，而官方直到幾個月前才發布補丁，長達3年的0day潛伏期讓他們把這個漏洞的利用價值發揮到了最大。

到后來，A和他的小伙伴們干脆直接利用微軟提供給安全公司的POC(漏洞的概念性證明)代碼寫Exploit(漏洞利用程序)。因為他們滲透的一些安全公司中，有的加入了微軟的MAPP計劃，從而可以在補丁升級前就提前拿到微軟提供的漏洞細節。本來是想讓互聯網更加安全的MAPP計劃，反而讓黑客受益，正所謂「道高一尺，魔高一丈」。

但這也并非A的組織獲取0day的最大來源。他們有一個非常大膽的計劃，在全球范圍內部署了上千臺服務器的蜜網系統，用于捕獲0day和研究黑客行為。他們基于項目研發了自己的系統，并在全球范圍內租用主機。

在部署蜜網系統的當年，就在全球各地捕獲了30萬次黑客入侵的行為，并抓取到了幾十個半公開的漏洞，和3個0day。至此嘗到甜頭后，他們進一步擴大了蜜網的規模。如此大規模的蜜網，即使在安全行業里，也只有一流的公司或者是政府部門才能夠做出來，而A他們區區幾個人就做到了。這套系統今天仍然在運轉著。

A說，通過蜜網能研究黑客們的動向，能知道哪一類網站更容易遭受攻擊，以及哪些技術和手法可以繼續使用，而哪些卻已經不宜使用了。因為如果一個技術被黑客們用的多了，說明已經流傳開，暴露的風險也就大了。

比如A通過研究網絡協議后，解決了同一交換機下跨VLAN實現ARP欺騙的問題，從而大大提高了內網滲透的效率。據A透露，他發現在中國至少已有不下于10人掌握了此一未公開的技術。估計過幾年用的人多了，這個技術就不會再那么好用了。

想要支撐起這么大規模的蜜網系統，需要的資金投入不小，而作為地下黑客組織，A與他的小伙伴們生財有道。

2007年以來，A的組織在全球范圍內劫持了數百萬臺家用路由器，篡改了這些路由器里的DNS Server，指向了自己架設的服務器，從而可以在用戶上網的流量里植入廣告，就像今天很多無良的地方運營商做的事情一樣。

他們的常用手法是在一些流量大的網站上找到一個存儲型的XSS漏洞，當用戶訪問這個有漏洞的頁面時，攻擊代碼將被加載。這時候再結合一個家用路由器的CSRF漏洞，就能直接篡改默認口令的家庭路由器的DNS設置了。這一攻擊手法直到2011年才公開。

有時候在一些流量大的網站上植入XSS攻擊代碼，動靜太大，所以掛上攻擊代碼的時間不能太長。而A非常的謹慎，最長的一次也沒有超過2個小時，每次攻擊完后都會迅速把網站上的惡意代碼全部清理干凈。

到了2008年，這套體系進一步完善，A的組織開始利用劫持到的用戶流量，進行用戶行為分析以及數據挖掘方面的工作。主要是分析用戶近期會關注哪些商品，并進一步把分析得出的結果賣給商業公司。這正是今天炙手可熱的「商業智能」，早在08年，一個地下黑客組織就有這樣的覺悟，在從事這樣的事業了。他們用自己的方式，獲取到了海量的用戶數據。在黑客的世界里，從來沒有循規蹈矩一說。

我問A到底賺了多少，他笑而不語。

一個不到10人的地下黑客組織，完成了很多商業公司都無法做到的壯舉。

挑戰互聯網巨頭

「注：這是一家在全球范圍內炙手可熱的互聯網巨頭，已經上市，為免除法律方面的風險，在此隱去該公司的名字。」

2009年冬天，A發現該公司某一個子站點存在SQL注入漏洞。通過SQL注入成功的從數據庫中讀到了兩個管理員的密碼Hash。但是花了20個小時通過彩虹表把管理員密碼跑出來之后，卻發現之前找到的后臺地址無法登錄成功，看來這個子站還另有后臺。遍尋無果后，只得另想辦法。

同樣是通過SQL注入，A還從數據庫里順利讀到了管理員的郵箱地址，因此他的新思路是精心策劃針對管理員個人電腦的攻擊，以此為突破口。

對于黑客來說，有道是「八仙過海，各顯神通」。如果是V遇到這種情況，第一反應肯定是從13億密碼庫里直接查詢出管理員的郵箱密碼，控制郵箱后再找機會。如果是像余弦這樣的「前端黑客」，則可能會嘗試「XSS盲打」技術。每個黑客都會用他自己最擅長的方式入侵網站。對于A來說，別多不多，就0day多，所以他實施了一次典型的APT(高級持續性威脅)攻擊。

俗話說不怕賊偷，就怕賊惦記。APT攻擊就是賊一直惦記著，直接打擊、偽造、欺詐等各種攻擊方式無所不用其極。APT的攻擊目標就算大如一國政府，也都難以幸免。APT攻擊就像黑客世界里的007，常見于特工活動、商業間諜行為之中。

A首先費盡心思在該公司網站上找到了一個存儲型的XSS漏洞，通過這個漏洞可以實施針對瀏覽器的攻擊。XSS漏洞分為存儲型和反射型(還有一種DOM based XSS)兩種，存儲型XSS漏洞在利用的時候比較隱蔽，從頁面URL里看不出任何異常。找到這個漏洞后，A向管理員郵箱發送了一封郵件，報告網站上某頁面存在一個問題，請管理員看一下。

管理員點擊URL后，A順利通過XSS漏洞收集到了管理員的操作系統和瀏覽器版本信息，精準攻擊的準備工作已經做好了。此時A再精心構造了第二封郵件。出于謹慎的目的，他換成了俄語的Windows 7以及Opera瀏覽器，區別于第一次報告時用的英文Windows 7和IE瀏覽器，繼續報告同一問題。

沒有任何戒心的管理員再次訪問了這個漏洞頁面，此時A已經把之前單純的信息收集代碼替換成了針對管理員瀏覽器攻擊的0day。不出意外，通過管理員的瀏覽器，A成功給管理員的電腦植入了一個木馬，從而獲得了管理員電腦的控制權限。

A后來感嘆，如果當時沒找到那個XSS漏洞，他還真的很難撕開邊界的口子。像這樣優秀的公司，XSS漏洞都已經比較難找了。入侵總是伴隨著運氣的成分。

在撕開邊界控制了內網的一臺機器后，A失望的發現這臺主機上根本沒有任何有價值的東西，離他想攻擊的數據庫還差很遠。于是A進一步進行內網滲透。

首先他用WCE(Windows Editor，一個小工具，用于本地讀取Windows系統密碼)成功獲取了域管理員的hash，這樣就能夠控制一個域(內網的辦公環境)。接下來A通過的一個功能，利用這個域管理員的Hash，直接去連接這個域里的其他機器，一共控制了10多臺機器。

然后，就被發現了。其中某一臺機器的員工發現電腦多了一個人登錄后，把A踢下了線，這讓A驚出了一身冷汗。讓A慶幸的是那個員工安全意識不高，沒有意識到這是一次入侵行為，這一點和大多數公司的員工一樣。如果當時那位員工處理得當的話，可能A的入侵就到此為止了。

A暫時不敢亂動了。在另外兩臺機器上植入木馬后清除了日志，并重點把撕開邊界控制的第一臺機器上的后門和日志清除了。然后等了兩天。兩天后沒有發現什么異常，于是A繼續開始更隱蔽的行動，在控制的機器里裝上了鍵盤記錄后門，開始收集更多的信息。

比較幸運的是，A隨后在員工機器上發現了ERP系統的地址。訪問后發現是用的IBM的SAP系統。

「看到后我就笑了。我知道我已經成功了，至少ERP服務器到手了。祭出神器獲取了SAP服務器root權限。不出意外，熟悉的AIX 5.3。 很順利的獲取了HR相關信息。我把SAP數據庫下載到了本地，然后開始偽造服務器日志文件。」

「神器是什么?」，我問。

「Tomcat 0day。」，A說。

為了掌握更多的信息，A開始分析數據，把ERP的內容幾乎翻了個遍。接下來才是真正的考驗，A開始思考如何更進一步。

A一開始把目標放在網絡管理員身上，準備獲取網絡設備、路由器的密碼，這樣能最直接的控制網絡。但是網絡管理員安全意識很強，拓撲和路由密碼、交換機密碼、服務器密碼之類的重要數據全部被加密了。最初的嘗試以失敗告終。

A回想起來說：

「為了讓動靜更小，滲透更隱蔽，我并沒有采取比較暴力的方式。我當時有3個思路：

1. 從研發入手。這個最容易，因為很多研發安全意識不夠強。

2. 從運維入手。這個難度適中，運維安全意識相對較強，多多少少都有一些反黑客經驗。

3. 從DBA入手。能直接獲取數據庫，缺點是操作動靜太大。」

考慮了一整天后，A還是選擇從研發入手，放棄動靜太大的DBA和可能會暴露自己的運維。

A的思路是控制研發的機器后，在代碼提交到SVN之前加一個邏輯后門，給自己留下一條直通服務器的大路。

我問：「為什么不直接入侵SVN服務器?」

A說：「入侵SVN服務器動靜太大，先不說沒在一個域，我獲得的域控不能直接登錄，而且我也不知道管理員什么時候才會登錄SVN服務器。我沒獲得root權限之前不敢去動SVN上的任何一行代碼。」

我問：「包含了后門的代碼在QA(測試)時是否能通過?」

A回答：「我可以肯定的告訴你，精心構造的后門要被查出來是相當的困難。」

因為A之前控制的機器與研發人員不在同一個域，所以難以直接從網絡層發起攻擊。因此A再次祭出郵件大法，偽造身份給研發人員發了一封加料的郵件，內容是網站的一個反射型XSS漏洞。然后順利的拿到好幾個研發的機器：

「事實上我不知道他們會轉發那封郵件，以為只能拿下一臺就滿意了。

在接下來的2天里，我讀了他們的項目代碼，開始構造后門。 在他們出去用餐的時候，我果斷把自己更改后的代碼給他替換了。 剩下的時間就只是等待項目上線了。

3個多月的等待，新模塊終于上線了。我用留下后門的地址很順利得到了一個shell，Linux 2.6.x 的內核。直接上提升權限的Exploit拿下了服務器的root。

終于又接近了一步。我開始嗅探C段的服務器。并成功拿下了主站服務器權限，數據庫權限。后來的事情就不用多說了。」

這個網站的后門至今未被發現，靜靜的躺在全球市值最大的幾家互聯網巨頭之一的服務器里。

A出于挑戰自己的目的入侵了這家巨頭，獲取到的東西也未曾出售或作于其他用途，僅僅是作為了自己收藏的一部分。

走向未來

我問A，你的理想是什么?

A毫不猶豫的回答：

「做一套讓自己滿意的人工智能系統。」

這讓我感到有點意外，我原本以為他會回答說成為最偉大的黑客之類。

A談到，他是一個喜歡挑戰極限的人，在虛擬世界如此，在現實世界也如此。

他酷愛極限穿越運動，曾經與朋友們駕車穿越羌北無人區、徒步穿越秦嶺、神龍架等地。但有一次，A的一個朋友在穿越無人區時由于身體原因，差點沒能回來。自此，A就誕生了一個想法，想要實現極限越野環境下的自動駕駛技術 —- 如果有一個系統能夠自動輸入經緯度、導入地圖后自動識別線路和駕駛，可能就不會有什么意外了。

這個目標看起來難度似乎非常大，但A已經開始探索了：

「現在我手上有不少自動駕駛技術的資料，我還在做相應的一些規劃。在這套系統里面很多難題需要去攻克。

比如說：氣壓、低溫帶來的影響，不同地面環境的胎壓怎么去實現智能控制，對于地圖上未標識但是會造成車體深陷的沼澤地和沙地怎么去識別并重新規劃最佳線路和最佳車速行駛。我還在考慮是用激光還是微波來識別地面狀況以及周邊環境，我現在也在咨詢一些極限越野愛好者的意見。

或許這個夢想需要我花費10年甚至更多的時間去實現。」

有夢想的人永遠都不會空虛，對于優秀的黑客來說，不斷挑戰自我已經成為生命最大的意義。

A的前半生絢麗多彩，后半生又最終能走到哪一步呢?我拭目以待。

(完)

充分滿足你的好奇心

帶你走入一個奇幻的暗網世界

深網里的潛行者

微信號 :

閑談吹水QQ群：

期待你的加入！