转自:http://bobao.360.cn/learning/detail/268.html
ps:Md5解密方式主要采取暴力破解, 即软件通过算法生成字典,然后使用md5函数加密该字典中的值形成密文,接着跟需要破解的密文进行比较,如果相同则认为破解成功。可以试试MD5Crack3
现在各漏洞平台不断Duang~的一声就爆出《某某公司数据库沦陷,xxxx千万用户信息泄露》这样的漏洞。有些网友不以为然——互联网没有隐私,并不觉得怎样。今天演示一下如何利用一个站点数据库来进行网民的网络财产挖掘。
昨天在补天平台上提交了一个app漏洞。可以通过普通的post请求获取用户账号,密码以及手机号。写了一个脚本dump用户信息,详情见http://loudong.360.cn/vul/info/qid/QTVA-2015-187508
整理为txt文档,用户并不多,只有1w
抹去无手机号用户,发现注册手机号用户有3000多条
再把md5去重,并进行解密,成功破解78%的md5
整理如下
有两千多条。
这样我们就有2000多条有效用户密码,3000多条注册用户手机号。
接下来我们利用这些手机号及密码在互联网中遨游吧!
我看到了一个密码为son****jie0***的哥们(难不成是状王宋世杰?),就冲这密码也要试试。
手机号是157****4543,就不公开了
利用www.weigongkai.com的网络足迹功能,查询注册过哪些网站(站点感觉还是太少,以后自己写个玩),发现
注册了一个唯品会,小伙还是购物达人!认识衣服是白金的还是蓝黑的么?
利用手机号及他的密码进行登陆,成功。
登录其他站点百度,新浪
,接下来尝试其他站发现该小伙貌似并不喜欢网上冲浪,换一个目标吧。
接下来这个目标由于密码过长被我选中(我好奇葩…)
还是利用weigongkai.com先进行搜集一下并百度之,发现如下
该小伙支付宝是用手机绑定!那么很简单了,登陆试一试。
成功登陆,还有200余额,么么哒!当然不会进行任何非法操作!
还可以看到绑定的银行卡神马的,登陆淘宝是要验证手机短信,为避免打扰该童鞋,就不尝试登陆了。
接下来去其他网站试试,百度啊,腾讯啊 ,挨个试!
百度用户中心正常登陆,看了下搜索历史,
妈呀好害羞
东京热就是东京温度很高啦!
贴吧神马的都是正常访问的哦。
但是我们到现在都不知道该小伙的QQ号,那我们就用手机号尝试登陆,果然该童鞋用手机绑定了QQ,用他的手机密码登陆邮箱
点开一封邮件成功找到该童鞋QQ号码
就不登陆该童鞋QQ号了,当然QQ,手机,密码都有了,微信什么的就不在话下了。最后我们来尝试登陆银行之,前面可以看到该童鞋支付宝绑定的是中国银行,继续用这个手机密码登陆试试。
发现不能用手机号登陆,银行卡也不知道,那么只有从用户名下手,试试他的QQ邮箱名volks*********,密码还是app里的注册密码。登陆成功。
至此,网络漫游结束。个人信息如果被非法犯罪者利用就是这样的结果,这些只是九牛一毛,互联网漏洞的发现并不可怕,可怕的是企业并不积极应对,最后受伤的永远是用户,希望互联网企业能够积极面对自身的安全漏洞。
作为普通网民,互联网厂商的安全维护是我们无法触及到的,我们只能提高自己的安全意识。分 享下笔者的密码设置策略,可以再次申请一个QQ号,用这个QQ号来进行一些普通社交软件的注册,涉及到财产安全的帐户可以用自己的手机号去进行注册并提高 自己的帐户安全等级。这样即使自己的普通社交账号密码沦陷,也不会影响自己的核心帐户安全。这些设置的确是有点繁琐,但这一切为了自身的互联网帐户及财产 安全。
转载请注明:jinglingshu的博客 » 一个手机号加一个密码沦陷你的互联网账户