最新消息:

一个手机号加一个密码沦陷你的互联网账户

别人经典渗透过程学习 admin 1517浏览 0评论

转自:http://bobao.360.cn/learning/detail/268.html

ps:Md5解密方式主要采取暴力破解, 即软件通过算法生成字典,然后使用md5函数加密该字典中的值形成密文,接着跟需要破解的密文进行比较,如果相同则认为破解成功。可以试试MD5Crack3

jinglingshu_2015-03-03_08-10-37

现在各漏洞平台不断Duang~的一声就爆出《某某公司数据库沦陷,xxxx千万用户信息泄露》这样的漏洞。有些网友不以为然——互联网没有隐私,并不觉得怎样。今天演示一下如何利用一个站点数据库来进行网民的网络财产挖掘。

昨天在补天平台上提交了一个app漏洞。可以通过普通的post请求获取用户账号,密码以及手机号。写了一个脚本dump用户信息,详情见http://loudong.360.cn/vul/info/qid/QTVA-2015-187508

脚本xiaoyou.txt

整理为txt文档,用户并不多,只有1w

jinglingshu_2015-03-03_08-10-361

抹去无手机号用户,发现注册手机号用户有3000多条

jinglingshu_2015-03-03_08-10-36

再把md5去重,并进行解密,成功破解78%的md5

整理如下

jinglingshu_2015-03-03_08-10-43

有两千多条。

这样我们就有2000多条有效用户密码,3000多条注册用户手机号。

接下来我们利用这些手机号及密码在互联网中遨游吧!

我看到了一个密码为son****jie0***的哥们(难不成是状王宋世杰?),就冲这密码也要试试。

jinglingshu_2015-03-03_08-10-362

手机号是157****4543,就不公开了

利用www.weigongkai.com的网络足迹功能,查询注册过哪些网站(站点感觉还是太少,以后自己写个玩),发现

jinglingshu_2015-03-03_08-10-37

注册了一个唯品会,小伙还是购物达人!认识衣服是白金的还是蓝黑的么?

利用手机号及他的密码进行登陆,成功。

jinglingshu_2015-03-03_08-10-40

登录其他站点百度,新浪

jinglingshu_2015-03-03_08-10-38

jinglingshu_2015-03-03_08-10-42

,接下来尝试其他站发现该小伙貌似并不喜欢网上冲浪,换一个目标吧。

接下来这个目标由于密码过长被我选中(我好奇葩…)

jinglingshu_2015-03-03_08-10-46

还是利用weigongkai.com先进行搜集一下并百度之,发现如下

jinglingshu_2015-03-03_08-10-47

jinglingshu_2015-03-03_08-10-49

该小伙支付宝是用手机绑定!那么很简单了,登陆试一试。

jinglingshu_2015-03-03_08-10-50

成功登陆,还有200余额,么么哒!当然不会进行任何非法操作!

jinglingshu_2015-03-03_08-10-471

还可以看到绑定的银行卡神马的,登陆淘宝是要验证手机短信,为避免打扰该童鞋,就不尝试登陆了。

接下来去其他网站试试,百度啊,腾讯啊 ,挨个试!

jinglingshu_2015-03-03_08-10-51

百度用户中心正常登陆,看了下搜索历史,jinglingshu_2015-03-03_08-10-49妈呀好害羞

jinglingshu_2015-03-03_08-10-52

东京热就是东京温度很高啦!

jinglingshu_2015-03-03_08-10-54

贴吧神马的都是正常访问的哦。

但是我们到现在都不知道该小伙的QQ号,那我们就用手机号尝试登陆,果然该童鞋用手机绑定了QQ,用他的手机密码登陆邮箱

jinglingshu_2015-03-03_08-10-54

点开一封邮件成功找到该童鞋QQ号码

jinglingshu_2015-03-03_08-10-53

就不登陆该童鞋QQ号了,当然QQ,手机,密码都有了,微信什么的就不在话下了。最后我们来尝试登陆银行之,前面可以看到该童鞋支付宝绑定的是中国银行,继续用这个手机密码登陆试试。

jinglingshu_2015-03-03_08-10-56

发现不能用手机号登陆,银行卡也不知道,那么只有从用户名下手,试试他的QQ邮箱名volks*********,密码还是app里的注册密码。登陆成功。

jinglingshu_2015-03-03_08-10-57

至此,网络漫游结束。个人信息如果被非法犯罪者利用就是这样的结果,这些只是九牛一毛,互联网漏洞的发现并不可怕,可怕的是企业并不积极应对,最后受伤的永远是用户,希望互联网企业能够积极面对自身的安全漏洞。

作为普通网民,互联网厂商的安全维护是我们无法触及到的,我们只能提高自己的安全意识。分 享下笔者的密码设置策略,可以再次申请一个QQ号,用这个QQ号来进行一些普通社交软件的注册,涉及到财产安全的帐户可以用自己的手机号去进行注册并提高 自己的帐户安全等级。这样即使自己的普通社交账号密码沦陷,也不会影响自己的核心帐户安全。这些设置的确是有点繁琐,但这一切为了自身的互联网帐户及财产 安全。

转载请注明:jinglingshu的博客 » 一个手机号加一个密码沦陷你的互联网账户


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址