文章总结： 文章评析高中生入侵官网的幼稚行为，结合自身从脚本小子到白帽子的经历，强调安全从业者需敬畏法律边界，坚持授权测试，切勿因炫技触碰红线。 综合评分： 85 文章分类： 安全意识,实战经验,WEB安全

幼稚！山东某高中官网光明正大被实名高中生黑客入侵。

原创

爱捡垃圾的小男孩

一个不正经的黑客

2026年1月3日 18:14 广东

点击上方卡片“一个不正经的黑客”关注公众号

今天刷到一个比较热议的内容,山东省某宁市的市一中官网竟然被挂“黑页”了。

为什么这里我要把「黑页」两字括起来呢？

因为这个高中生黑客显然是没有获取到完整的webshell权限的，看起来更像是获取到后台的权限，从而具备编辑功能，然后通过篡改主页的图片、发布帖子达到“炫技”的效果。

这要是放在2017年网络安全法出来之前，我其实对这种行为是不感冒的，甚至在2022年之前，我也是一笑而过。

说实话，站在当年的时间点，作为一个爱炫耀的脚本小子的我来说，我太能理解图中那个高中“小黑客”的炫技动机了。

爱表现、想证明自己、急于被看见——那几乎是每个脚本小子都会经历的阶段。

但现在回过头来看，不得不锐评一句：

此行为非常愚蠢、短视，而且危险。

安全行业的第一道门槛，从来不是技术水平，而是对边界的敬畏，以及在诱惑面前保持清醒认知的能力。

为了让本文的观点更加有说服力，先说下本菜的经历，希望能给“后浪们”一点微不足道的良性建议，毕竟年轻才是你们最大的资本，年轻的节点更应该去做对的事情。

本菜是初中的时候开始接触安全知识的，从最基本的刷Q钻、Q币开始，一步步到想成为无所不能的“黑客”，那个时候我是一个很单纯、很无知、很有信仰的小屁孩，时常用 xx红客、xx黑客，什么xx负责人，xx爆破手作为自己的QQ昵称。

初三到高一的暑假，那个时候我从各种乱七八糟的黑客网站学习，已经把啊D、明小子以及文件上传漏洞玩的炉火纯青，也能进入到一些后台。

当然在那个资料匮乏的年代，我的代码能力其实很弱，但我不Care，反而很享受无脑使用脚本工具带来的“爽脆”快感，毕竟只要我不断的把一个站无脑试完所有公开的“入侵”方法，我基本都有一定收获。

在这种正反馈的机制下，我也一步步胃口变得越来越大，不断查阅各种资料来实现自我满足，这个过程虽然不是很优雅，但我确实一步步开始成长。

我记得以前有一个黑客排行榜，里面有一个功能就是你上传黑页到网站上，它就会把你记录下来，当时我记得第一名是越南邻国宰相，其他还有诸如浅蓝，心东之类的人，那个年代是一个工具包泛滥并且盛行“挂黑页”的年代！

那个时候本菜觉得非常酷，甚至还喜欢把黑页挂在“首页”，并且留下自己的QQ，说一段很非主流的话，xxx到此一游，请及时修复漏洞xxx。

后面虽然见识与技术的不断提高，但我还是很喜欢“挂黑页”，不过我选择了挂在其他页面或者是留一个TXT，一方面是为了不影响网站功能，另一方面是为了持久装B，偶尔遇到某个人，甩出几个链接发给他进行装B。

自己真正的蜕变应该是在高一到高二阶段了解到乌云，走进白帽子这一个神秘的群体。

经过一段时间的在社区耳濡目染地学习，我的兴趣从挂黑页变成提交漏洞刷rank，并在一段时间的努力下获得了乌云普通白帽子称号，在社区换了个价值300RMB的球拍，那一刻有一种莫名其妙的被认可的“自豪感”。

与此同时，在乌云平台接触到很多天才核心白帽子选手如P牛、猪猪侠等大神，我也慢慢跳出了自己的狭隘认知，开始明白人外有人的道理，整个人变得低调了很多，随之，就是内心开始充盈，技术的热爱回归纯粹。

介绍完自己背景，继续回到本文，讲一下自己高中的幼稚趣事，希望能给大家带来一点共鸣和久违的回忆。

我老家是广东某个非常落后的地级市里面，那个年代只有市直比较好的高中才有自己的官网，当时自己读高中有一个目标就是把它们全都拿下。

幸运至极，那时自己结合站群1day或者SQL注入，椰树一把梭基本拿下了绝大部分高中官网，然后偷偷写了txt或者非主页路径下的黑页，当时本菜认知已提高不少，不会说去挂黑页影响网站的正常功能。

不过一直到读大学，我的内心都有一个执念，那就是“黑一次自己读过学校的官网”。

虽然本菜读高中的时候也有一些“练手”经历，比如发现过饭卡充值的机器绕过锁屏的漏洞并提交到乌云，发现过成绩查询系统的某个路径存在未授权文件上传拿到webshell并且借助这个入口进行内网入侵了几台机器，拿到3389权限。

但是高中三年，有一个遗憾就是尝试了所有公开/自研方法但一直拿不下高中的官网-一套动易aspx的系统。

这个遗憾是我大学生活的一份潜意识的执念。

本菜大一的时候开始系统地学习网络安全知识，认识了不同专业相同爱好的同学与很多网络大神，热衷与他们一起打CTF比赛，在那时，我一度认为似乎“挂黑页”、“入侵高中官网”这些想法与现在的自己来说似乎有点幼稚且不是那么重要了。

但是在每一个夜深人静、闲暇的时光，我都会去关注动易系统的官方动态，直到后来我看到一个补丁的发布公告。

结合描述和源码分析，在一位师傅（lemon）的帮助下，成功复现这个堪比0day的XML SQL注入漏洞，进一步破解后台密码，在里面找到一个文件上传漏洞，成功拿下shell权限，那一刻，我的心有点小兴奋，更有一种如释重负，放心执念的轻松感。

但那次我没有挂任何黑页，只是默默把shell做得更隐蔽，伪装成配置文件等等，直至后来找到网站管理员（一位大叔）跟他同步这个事情，修复漏洞后，把shell也彻底下掉。

至此，那段幼稚而又略显非主流的“年少小黑”时光，随着那次 shell 的落幕，也一并走向了终章。

我开始回归正常的大学生活，也逐步回到正规、可控、安全的安全测试轨道上来。

此后的那段时间里，我依然拿到过大量的 webshell，也接触过校内不少系统的权限，甚至包括教务管理系统。但那时的目标，早已不再是单纯的炫技或证明“我能行”。

更多时候，它更像是在解一道复杂的数学题——专注、克制、只享受问题被拆解与解决的过程本身。

也正是在这一阶段，我逐渐意识到：

安全测试的前提，永远是明确授权；

而真正保护自己、也保护整个行业的底线，是绝不破坏任何系统的正常运行。

从炫技到敬畏，

这一步，来得不算早，但足够必要。

网络安全 #授权测试 #道德黑客

-End-

真正的分水岭，不在你能走多远，

而在你是否清楚——

哪些地方，永远不该越过。

请点赞，打赏，在看，转发为我加油~

👇👇关注我👇👇

和我一起在网络安全从业道路上打怪升级

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：一个不正经的黑客 爱捡垃圾的小男孩《幼稚！山东某高中官网光明正大被实名高中生黑客入侵。》