Hacker一月间

我给自己的新赛季制定了一个计划，就是研究Kali，一个大集成开源软件系统，不过是用来做Hacker的。

以前其实想玩玩这个，但负责信息安全，总是担心安全漏洞这里安全漏洞哪儿，其实自己很害怕有安全漏洞，所以干脆不去想就没有安全漏洞了。写写报告，看看文章就把安全工作做好了，反正每年都有测评，还有主机加固软件，要想Hack什么的，想想就头大了。

真正接触到现在已经一个月了，渐渐地潜心下来，觉得信息安全还是蛮有趣的。

说说成果：搞定了两台电脑，完全控制，可以说是肉机一类的东西；然后发现了一个巨大的漏洞，我还没有考虑好如何处理这个漏洞，是汇报给以前我工作的部门呢还是自己知道就好了；让4台电脑Crash了（这个是不小心，做渗透测试的时候发现结果就是DDOS）。

其实，我发现我们的IT环境是蛮健康的，这是我的一个发现。漏洞基本上都是许久不用的电脑，估计管理员都忘记了还有这电脑一直在运行着。教训就是：离职人员的IT产品要彻底的清理，否则后患蛮大的。我扫描了500台电脑，也才发现两台弱智的电脑，发现率很低。但是大量的软件超过服务期，还是应该引起管理当局的重视。

有一个公司印象深刻，我扫描全部IP，也就发现了一台IP响应，估计是一个蜜罐，其余的都被防火墙拦截了。不过，还是得佩服他们：有安全意识。

总结一下Hacker的基本步骤：

1，NMAP：这个工具强大，但是有了第二个，就不想用了。

2，OPENVAS：扫描工具，下班后工作。

3，MetaSploit：上班玩玩，不过时间不够多。

特别提示：考虑到网上的Hacker更新速度，一旦发现0Day漏洞，还是应该马上打补丁才是。