黑客寫的是什么代碼？

一般不會只使用一種語言的，取決于具體的攻擊場景。 比如說需要攻擊某個漏洞的時候，一般需要把一段惡意代碼送到目標機器里。這段惡意代碼行話叫“payload”，一般只能根據漏洞成因選擇特定的編程語言：

XSS / CSRF 漏洞一般只能用 JavaScript。SQL注入一般只能構造畸形SQL語句，命令執行類的會摻一點bash、DOS命令。反序列化漏洞一般用JSON、XML等，取決于具體的數據交換語言。溢出漏洞一般用匯編、C編寫shellcode，而且一般需要用到專門的 Jump-Oriented Compiler。拿Web Shell的時候，需要根據當前Web服務器配置選擇相應的ASP、PHP、ASPX等語言。另外，將payload送入目標機器一般需要構造特殊的提交方式： 如果需要構造畸形HTTP請求的話，我一般選擇Python，requests庫真的很好用。如果需要在套接字層直接提交TCP/UDP數據的話，我一般選擇C，也會考慮Python。剩下的情形對語言一般就沒有強制要求了，我平時大概隨心情在 Go 和 Python 之間選一個。