记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

一个手机号加一个密码沦陷你的互联网账户

2015-03-02 16:05

分享到:

感谢白帽子的投稿,以下内容供安全爱好者参考学习,本文获得投稿奖励300元,即将打入作者账户,投稿请发送邮件至 huangyuan#360.cn。

http://hackdig-h.stor.sinaapp.com/pictures/month_1503/201503021605131416.jpg


现在各漏洞平台不断Duang~的一声就爆出《某某公司数据库沦陷,xxxx千万用户信息泄露》这样的漏洞。有些网友不以为然——互联网没有隐私,并不觉得怎样。今天演示一下如何利用一个站点数据库来进行网民的网络财产挖掘。

昨天在补天平台上提交了一个app漏洞。可以通过普通的post请求获取用户账号,密码以及手机号。写了一个脚本dump用户信息,详情见http://loudong.360.cn/vul/info/qid/QTVA-2015-187508

脚本xiaoyou.txt

整理为txt文档,用户并不多,只有1w

t0153354ba55d21d20f.png

抹去无手机号用户,发现注册手机号用户有3000多条

t01da17629a07a15b26.png

再把md5去重,并进行解密,成功破解78%的md5

整理如下

t0118d92a3bd5311c72.png

有两千多条。

这样我们就有2000多条有效用户密码,3000多条注册用户手机号。

接下来我们利用这些手机号及密码在互联网中遨游吧!

我看到了一个密码为songshijie0714的哥们(难不成是状王宋世杰?),就冲这密码也要试试。

t01108c84acfec87d03.png

手机号是157****4543,就不公开了

利用www.weigongkai.com的网络足迹功能,查询注册过哪些网站(站点感觉还是太少,以后自己写个玩),发现

t01e49fac5fb79e49b7.jpg

注册了一个唯品会,小伙还是购物达人!认识衣服是白金的还是蓝黑的么?

利用手机号及他的密码进行登陆,成功。

t01dcc86b51ad2f6d8e.png

登录其他站点百度,新浪

t0160a7c564d740a01f.png

t0172c63ea869d058ca.png

,接下来尝试其他站发现该小伙貌似并不喜欢网上冲浪,换一个目标吧。

接下来这个目标由于密码过长被我选中(我好奇葩…)

t019921cf25e65cd7b5.png

还是利用weigongkai.com先进行搜集一下并百度之,发现如下

t014e804f3f2ea57ac6.png

t018a1ffe25b5df9d1b.png

该小伙支付宝是用手机绑定!那么很简单了,登陆试一试。

t016bc043f97cf1c963.png

成功登陆,还有200余额,么么哒!当然不会进行任何非法操作!

t0143fc1aef35061797.png

还可以看到绑定的银行卡神马的,登陆淘宝是要验证手机短信,为避免打扰该童鞋,就不尝试登陆了。

接下来去其他网站试试,百度啊,腾讯啊 ,挨个试!

t01bb80486a009ecdc8.png

百度用户中心正常登陆,看了下搜索历史,http://p1.qhimg.com/t012e8dbfcd70bb9bbf.jpg妈呀好害羞http://p3.qhimg.com/t018236e7319298ea25.gif

t01f4d48c4ee656db94.png

东京热就是东京温度很高啦!

t01b980dbdd991167bd.png

贴吧神马的都是正常访问的哦。

但是我们到现在都不知道该小伙的QQ号,那我们就用手机号尝试登陆,果然该童鞋用手机绑定了QQ,用他的手机密码登陆邮箱

t01e5880ed0d1677406.png

点开一封邮件成功找到该童鞋QQ号码

t01fdaa5477b5170d5a.png

就不登陆该童鞋QQ号了,当然QQ,手机,密码都有了,微信什么的就不在话下了。最后我们来尝试登陆银行之,前面可以看到该童鞋支付宝绑定的是中国银行,继续用这个手机密码登陆试试。

t01e5beeaa9509b0c5c.png

发现不能用手机号登陆,银行卡也不知道,那么只有从用户名下手,试试他的QQ邮箱名volks*********,密码还是app里的注册密码。登陆成功。

t01d51949819ad3951a.png

至此,网络漫游结束。个人信息如果被非法犯罪者利用就是这样的结果,这些只是九牛一毛,互联网漏洞的发现并不可怕,可怕的是企业并不积极应对,最后受伤的永远是用户,希望互联网企业能够积极面对自身的安全漏洞。

作为普通网民,互联网厂商的安全维护是我们无法触及到的,我们只能提高自己的安全意识。分享下笔者的密码设置策略,可以再次申请一个QQ号,用这个QQ号来进行一些普通社交软件的注册,涉及到财产安全的帐户可以用自己的手机号去进行注册并提高自己的帐户安全等级。这样即使自己的普通社交账号密码沦陷,也不会影响自己的核心帐户安全。这些设置的确是有点繁琐,但这一切为了自身的互联网帐户及财产安全。

本文由 360安全播报 原创发布,如需转载请注明来源及本文地址。
本文地址:http://www.hackdig.com/03/hack-19098.htm

知识来源: bobao.360.cn/learning/detail/268.html

阅读:75693 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“一个手机号加一个密码沦陷你的互联网账户”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云