一）胜率

　　初恋结婚的概率为1%，所谓天长地久，不过是一厢情愿。

　　初次创业的成功率在5%左右，所谓雄心壮志，只是廉价炮灰。

　　赌场的胜率只需多占1%，那些聪明智慧运气爆发的赌客，终究只能是输家。

　　勇气、拼搏、努力、挑战自己、大无畏精神… 这些溢美之词，终将成为凡人的噩梦，任他天赋异禀，才华绝伦，也免不了一世悲剧。

　　想要成为最终的赢家，其实也简单。

　　永远站在胜率较高的一方！绝不孤注一掷！挑软柿子捏！

　　积跬步必至千里，积小流终成江海，携大道之力，可破万物。

　　世界上什么东西也替代不了持之以恒，才华不能够，因为不成功的才子到处都是；天赋也不能够，因为这个世界上到处是受过良好教育的乞丐。惟有正确的 *** 和持之以恒才是万能的。

　　万法相通，哥哥已经多年没接触黑客技术，但入侵网站的效率反而更胜从前。

　　二）批量入侵网站

　　无论多么严密的系统和安全措施，终究是人在操控，人才是漏洞的根源。

　　无需任何技术，小学以上文化水平，智力不低于人类平均水平，就能实施黑客攻击。

　　* 弱口令批量入侵

　　

　　做网站时，先要将网站源码上传到服务器。

　　FTP就是上传源码到服务器的软件，因此只要获得网站的FTP密码，这个网站的所有数据就唾手可得。

　　总会有一些网站的密码非常简单，如上图某网站的密码是123456；

　　通过搜索引擎采集大量网址，然后用软件自动扫描，成千上万个网站中，总会有那么几个网站的密码很简单。

　　根据哥哥的测试，此 *** 有0.03%的成功率，1万个网站中有3个是弱密码。

　　黑产可以倒卖这些网站的数据获利，也可以用这些网站发广告赚钱，尤其是博彩行业最喜欢这么干，收获颇丰。

　　* 漏洞批量入侵法

　　哥哥随手搞了下，轻松拿下几百个网站的权限，这其中包括大型集团、商城、 *** 、银行…

　　“struts 2”是个网站应用框架，程序员在struts2框架的基础上能方便快捷的开发出各种网站。但这个框架在2014年~2018年期间，出现8个漏洞，无数大型网站沦陷，堪称黑产圈的狂欢节。

　　虽然是老漏洞了，但必定还有很多网站比较幸运，没有被入侵，就拿这些幸运儿开刀吧。

　　使用“struts 2”框架做的网站，网址通常会包含一个单词“action”。

　　用百度高级指令搜索，inurl:action，意思是搜索所有网址中包含字母“action”的网站。

　　为了提高效率，哥哥用软件批量在百度采集网址，如下图

　　

　　将采集的网址导入“struts 2漏洞软件”，软件能自动批量检测。

　　

　　1%以上的网站存在漏洞，银行、学校、物流系统…无一幸免。

　　下图是某学校网站的测试结果，可以随意查看网站的任何信息，包括服务器的配置、安装了哪些软件、管理员用户名等信息，从图片能看出，这是个Windows系统，管理员的用户名是：administrator 。

　　

　　为了更方便的看到网站的数据，百度搜索“jsp木马”，随便找一段代码上传到这个网站。

　　

　　打开木马，就能管理服务器的所有内容，Windows2012系统，硬盘里有几百G的资料…

　　

　　

　　为了避免被请喝茶，哥哥就不深入了，漏洞已经告知这家学校了。

　　接下来，哥哥继续演示利用商城系统的漏洞，批量入侵。

　　

　　ecshop在国内非常主流，大部分商城网站都是用这套系统做的。

　　ecshop漏洞和刚才的struts 2漏洞的操作 *** 一样，先用软件采集全网各大商城的网址，然后用软件批量检测。

　　

　　0.5%的概率能成功，软件会自动生成一个“coon.php”的木马文件，密码是 *** ，用下图的软件就能连接。

　　

　　这个商城的所有源代码和数据，黑客可以随意删除或更改。

　　哥哥顺手打开商城网站的数据库文件，看到数据库用户名和密码。

　　

　　用软件“Navicat”连接这个数据库，找到保存用户信息的数据表… 可以获取商城的所有用户信息，包括邮箱、手机号、用户名…

　　

　　在检测的过程中，无意中进入某公司的服务器，这个服务器上居然有上百个网站…

　　瞬间几百个网站的数据就公开了…

　　

　　其他漏洞的操作 *** 同理，轻而易举就能入侵成千上万个网站。

　　三）黄雀在后

　　聪明的读者肯定会留意到上面的一句话“软件会自动生成一个“coon.php”的木马文件，密码是 *** ”

　　批量入侵留的木马地址和密码都是一样的…

　　所以！根本不需要我们上传木马，只需跟着大佬的脚步，批量扫描网站是否存在木马文件，并用大佬的密码连接。

　　

　　既然ECShop漏洞攻击软件，会生成一个coon.php的木马文件，密码是 *** ，那么我们只需批量采集商城网址，然后用软件扫描是否存在coon.php的文件，这样就能获取其他黑客搞过的网站。

　　这个思路极为逆天！

　　百度搜“被黑网站统计”，有许多小黑客在获得网站的权限后，会上传一个装逼的网页，并提交到黑客网站，满足虚荣心的同时还能给自己做宣传。

　　小黑客们入侵后，留的木马后门通常都一样，因此只需搞定某个黑客入侵的某个网站，一般就能获取他在所有网站留的木马后门。

　　哥哥用此法把某位大佬的所有木马都删了…

　　黑产的变现手法极多，出售用户数据、DDOS攻击、挂广告…这些只是入门级玩法。

　　针对业务型网站实施的攻击，堪称抢劫。

　　入侵点卡网站，用网站余额批量给自己的号充值，然后转手出售，一晚洗劫数十万。

　　入侵竞价网站，偷别人网站的客户。

　　四）大道至简

　　无极领域的文章标题，只要和网赚相关，标题带有日赚xxx元，阅读量通常比其他内容多一倍。

　　项目终会失效，漏洞总会过时，忙碌半世，终免不了一场悲剧。

　　在一秒钟内看到本质的人和花半辈子也看不清一件事本质的人，自然是不一样的命运。

　　— 完—

　　注：软件就不提供了，都是网上免费的下载。黑客攻击是违法行为，涉及到的漏洞已通知管理员。下篇要不写个，精准入侵某卖号网站？

　　—分割线—

　　个人网站：

　　微博ID：wujiyyy

　　导语

　　又是年底，年底骗子都非常猖獗，今年又出现了新的骗局：自称能攻击博彩平台骗取网民钱财。这种骗局是如何行骗的，一起来看看了解揭秘这种骗局吧 ... ...

　　今天要讲的不是大家所了解到的，赌博平台骗用户充值赢了不给什么的，而是赌博平台下滋生出的另外一种诈骗 *** ，具体下面跟着KK来看看...

　　真实事件

　　他们是大学生黑客团队，能攻破赌博的平台，能自己修改数据，也就是把你余额改成你想要的多少钱。

　　对这个有兴趣的话就请按“1”，正常情况这段机器人的语言貌似很有吸引你，能黑进赌博平台，然后改余额再把钱提现出来，貌似很不错的样子，正常人估计不少都会被吸引。

　　无恶不作欠扁的诈骗犯：您好，我们这边是大学生黑客团队，能利用某某漏洞入侵赌博平台，请问您最近在玩这些平台，有靠谱能提出来钱的吗？

　　KK:有啊，我一直在玩，你们这个是能黑进去提出来钱对吗？

　　无恶不作欠扁的诈骗犯：是的，不过你那边要有靠谱的平台才行。（他的意思就是要大平台不会黑用户的钱的，具体后面会揭秘这些用意）

　　KK:这个我玩的很多的，我下钱几十万都是正常的下的，这个完全的放心，不过你们为啥不自己做啊，为啥找我啊？你们技术那么牛逼。

　　无恶不作欠扁的诈骗犯：我们没有那么多平台啊，而且要两个月以上的账号，需要有流水的，人家的技术也不少傻子，所以我们才找你们帮忙。你只要保证你玩的平台能下出来几十万就行了，到时下出来的钱我们一人一半。（貌似合理的解释，KK等会再无情的揭露）

　　KK:只要你们改数据不被他们发现就行了，我玩了很久的流水多，而且下过几十万的钱，大平台。（KK其实穷狗一只，几十块钱都玩不起）

　　无恶不作欠扁的诈骗犯：我们这个都是模拟的流水放心，不会发现。你这边需要充值点钱然后把账号密码给我，我们才能去操作，充钱是为了有个充值记录炮，别人技术不是傻子。

　　后面就是些无聊的内容，反正KK就是同意了，最后说加微信给他账号什么的，后面KK没加因为我已经知道他们的手法了，没必要。

　　大家看了上面的整个记录，估计如果粗心点的朋友很有可能一不小心就被骗了吧。

　　模式揭秘

　　好，上面案件对话模拟结束，咱们来，了解整个诈骗模式：

　　一

　　寻找目标客户

　　二

　　建立信任

　　找到客户后就给客户自称是因为没有流水、没有靠谱平台才找到受害者的，这样给了一个很合理的解释。而且，提现的钱是提现到受害者的银行卡，让受害者觉得“黑客”没办法跑他们的钱。

　　最后，最敏感的信任点是：要求先充值点钱，再给他们密码。不仔细想可能会觉得反正充值是到自己账户的，没有提款密码“黑客”也提不走，而且就算提现也是到自己银行卡。说明下：玩过都知道这些平台都有个提款密码，银行卡绑定后是不能改的。

　　三

　　关键操作

　　上面两个看似完美的解释，成功建立了信任。

　　现在揭秘关键位置，怎么骗用户钱？所谓的所有黑系统都是扯淡，关键就在于要求用户充钱了还把登录密码给他。这里虽然他们没办法提现。但是，KK猜测他们有两种办法：

　　1.其实就是充钱后他们自己玩，输了拉黑，赢了分钱。

　　2.他们通过在同一个平台开另外一个账号充值相对应的金额，然后通过一个号压大，一个号压小的形式，把受害者的钱全部输到他们自己的账号，再提现。就算受害者账号赢了也没关系，他们再充值相等的金额，总会赢到“黑客”自己的账号，然后提现。这样受害者充值的钱就成功被骗走。

　　基本上上面就是他们整个的诈骗流程，有个细节需要梳理下：他们会问你更高提现过出来多少，这就是在预估你的充值能力，你说充值越多他们就会要求你充值更多作为刷流水的资金。

　　结尾

　　任何诈骗都是利用人性的弱点进行实施的，只要大家多留心，骗子就会少很多可乘之机。

　　我们只是为了给大家曝光揭秘，然后就是让大家在每篇文章中都能学到不同的经验，本文说到的客户筛选、客户心理分析等等。

　　本 *** 严禁任何人操作，如有发现直接报警！诈骗罪更高无期徒刑！

　　这个 *** 只是单纯的猜测分析，如果有不对的欢迎评论留言指出。

　　同时本文说到赌博平台友情提醒大家：十赌九骗，远离赌博。

　　最后，物以类聚，人以群分，接触更优秀的人也可以让你成为同样的人，欢迎关注官方公号：灰产圈

　　灰产圈:培养你的发散性思维 解密互联网骗局、实战揭秘互联网灰产案例、网赚偏门项目解析、分享 *** 营销引流方案。深挖内幕、曝光各类套路。

　　

　　

　　关于 *** 博彩的报道这几年可谓是层出不穷，描绘出一幅幅金银成山、财源广进的画面，然而这里面的报道却并非完全属实，内容都是基于外行人的推测和对现象的观察，用”只见贼吃肉，不见贼挨揍“形容丝毫不为过。

　　

　　小编要用业内人的真实写照勾勒出 *** 博彩的清明上河图。寒天（化名）是名计算机系的应届毕业生，近来跟着我学了几个月的渗透测试，希望入行 *** 安全。面对深圳高企的房价，最近总是想捞些偏门。可能是在网上看了些对 *** 博彩的报道，深知黑色产业对黑客技术的需求，寒天铁了心要借黑产的力量赚笔钱。“帮我一下吧，介绍一个在菲律宾做线上博彩的朋友给我。不然以我现在的工资，何年才能买上房子，才能成家。我不想一直这样漂泊下去，一直没着没落。”面对寒天的请求，已经漂泊了数年的我，真的无力反驳。虽然觉得不对，但是也无法否认寒天所面对的现实。

　　

　　午饭约在一家粥店，从事了5年 *** 博彩的王哥就坐在我和寒天的对面。听过寒天的诉求，王哥会心一笑，“确实， *** 博彩是很依赖黑客技术，在菲律宾和大马（马来西亚），不少公司自己养着黑客团队，都是渗透和劫持的好手，几个人住在别墅里，一天可能就干两个小时。我们供着他们吃好喝好，还有保镖护着他们，有的干几年攒个小一千万可能就回国自己做正行了。这样的团队，在大公司眼里都是宝，为了他们，公司愿意花很多钱。但是，还有些小的博彩公司，根本就没有这样的财力，所以就是从国内哄几个水平较差的小黑客过去。说是金山银山，实际上来了就扣押所有的证件，每天在监视下工作12个小时以上，专门搞搞简单的渗透，一个月挣不了几千块还天天被枪吓唬着，过的很惨。”听了这些，寒天自己也在自我掂量，到底是年赚百万，还是去枪口下做苦力。我十分好奇，“博彩究竟是要黑客去做些什么呢？”王哥对我是知无不言，黑客的主要工作是破坏和获客。破坏就是让某些同行的网站瘫痪，客户上来玩不到什么，自然就流失了。这种事一般都是在晚上9点多钟开始，因为这是客户上线最多的时间。 *** 就是DDOS，简单地说就是更大限度的增加对方 *** 和系统的负担，从而造成服务过载，用户无法访问或者卡顿。或者是利用漏洞攻击，因为许多平台的安全维护未必到位，系统里存在高危漏洞，以至于被黑客利用。

　　

　　

　　

　　这艰难的处境完全不是黑产的画风，更像是创业公司艰难挣扎的惨样。行业竞争大了，小体量的公司总是游离在死亡线。

　　“那一年下来，大约能赚多少钱呢？”我想得到一个确切的答案。 “这个行业主要是看流水，流水决定收入，流水大了，也能降低成本。博彩公司的收入主要是来源是赔率差，这个很难说出一个平均数，毕竟玩法这么多，玩家人数也都是浮动的。不过从经验来看，利润在8%左右。这里面要扣掉给支付接口的1%返点，可能还有给客户1%的返点，再去掉之前说的成本，最后的利润在2%左右。所以我们一年50亿的流水，能赚到的也就是1个亿。” 黑产所用的支付接口基本都是从网上买来的。专门有人去购买收集成套的身份信息，用来注册公司，利用空壳公司申请接口，然后租借给黑产，收取1%左右的手续费。

　　 *** 博彩服务的对象可以是全世界，市场哪里更大？ 点上支烟，王哥叹了口气“因为人多，大陆还是更大的市场，但是也是最难搞的市场。由于中国的赌博文化被控制的很好，大家的风险意识都比较强，所以投入的资金都不大，所以客单价在全世界来看是很低的。

　　

　　相比之下，韩国、日本、越南、欧洲的博彩文化都要好得多。更气人的是，国人很不讲信用，愿赌不服输的大有人在，甚至有人输了钱之后就报警说被 *** 诈骗，导致汇给公司的钱被支付商或银行给拦截，博彩公司为了不打草惊蛇，也不敢去申诉。总体来说，我们更喜欢做日韩的生意，而不是大陆的。如果你们网站被投诉、或者被DDOS了怎么办？“我们有专门买些产品来保护自己，比如抗投诉和抗DDOS的产品。抗投诉可以保护网站不会因为用户的投诉而封掉，原理是转换服务器、使用离岸服务器或者使用反向 *** 来保护自己的真实IP。抗DDOS的产品我们不敢明目张胆去购买百度和阿里云的产品，所以都是买境外公司的产品。”王哥也是言无不尽。事已至此，整个博彩的商业逻辑已经很清晰了。“最后一个问题，王哥，可以透露下你们是怎么洗钱的吗？”我觉得没必要遮掩，直接发问。”收钱的账户也都是国内的卡，因为国内向境外的账户赚钱时间长而且审查严。我们大约有5000张这样的银行卡，都是从卡贩子那买来的，连卡主都不知道此卡的存在。收到的钱会以很多种方式处理，可能会直接消费掉一部分，大头可能会转换成比特币或者被转到海外我们自己成立的投资公司，再以投资的名义输入到我们境内的公司，之后就是通过财务手段来套现了。“说是为寒天引荐，结果我给自己加了这么多戏…看他那副蔫了的样子，估计是傍黑产不成，心里难免失落吧。