本篇文章3561字,读完约9分钟
国庆假期后不久,有一个问题要问:你在假期里丢了手机吗?以下是四个故事:甲、乙、丙、丁。欢迎坐在相应的位置。
我的手机丢了。我以为我被骗了。我打电话给我的手机,表明它已经关机。我很着急地使用了“查找iphone”功能,突然我找到了它。我叫它,它就开了!街对面一个温柔的男声:你好,我找到了你的手机,但它之前没电了。我刚给它充电并打开它。我们约个时间给你吧...经过一些阴谋,你得到了你的手机和一个男性朋友。
我的手机丢了,还以为被偷了。我打电话给我的手机,表明它已经关机。我痛苦地使用了“寻找iphone”功能,但是我找不到,我真的被骗了...iPhone 7向你招手!
我的手机丢了。我以为我被骗了。我打电话给我的手机,表明它已经关机。我很着急地使用了“查找iphone”功能,但是我找不到。我真的被骗了...哎呀,第二天我收到了一个来自“苹果”的验证信息,我的id和密码被拿走了。iphone7向你招手!
我的手机丢了。我以为我喝醉了。我打电话给我的手机,表明它已经关机。我悲伤地使用了“取回iphone”功能。然而,我找不到它。我真的喝醉了...哦,第二天我收到了一条来自“苹果”的验证短信,我的身份证和密码被拿走了。那么,你的朋友是一个伟大的上帝。通过攻击网络钓鱼网站和短信中的一系列复杂情节,你找回了你的手机。这次,
洗脸后醒来。看看这个世界。不要想阴谋。生活中最重要的是务实。大多数人都会遇到B和C情节,而D情节看起来真的像一个“故事”,但是网络安全从业者随身携带_你真的做到了!
自从用随身携带的技术找到他朋友丢失的iphone已经一个月了,但是当他和雷锋谈起这件事的时候,他仍然很开心。还原详细的情节!
1.被骗去偷iphone。9月12日晚上9: 00,carry _ your的小朋友在地铁人群中被盗。那天晚上,在面对一个后悔的朋友后,随身携带试图使用“查找iphone”的功能来查找手机。
然而,说谎者非常机智和熟练。偷完手机后,先关机,然后拔出手机卡,关闭网络功能。因此,“检索iphone”功能失败...从未偷过iphone的编辑小李天真地认为,被绑架到山区并能找到警察爱人的阴谋几乎是真的...电视剧杀人。
事情发生了很大的变化。第二天,你的朋友收到了一条短信。
焦虑的朋友没有多想。他们登录到上述网站,并输入他们的帐户id和密码。然后是杯子...
有多少人这样做?这里,雷锋的编辑应该敲黑板!请注意!
如果一个手机丢了的朋友收到了这条短信,首先请查看短信发送的号码是否真实;第二,请查看该网站是否是网络钓鱼网站;第三,如果发送短信的号码看起来像苹果的客户服务,可能是从一个伪基站发送的,请再次验证网址。
手机另一端的骗子在从网络钓鱼网站获得id和密码后,很快就偷了手机。如果你以后没有技术上的对策,故事应该到此为止,结局将是你的手机已经可以在市场上流通了,所以你有理由买iphone7!
2.摘下帮派的面纱...我穿内裤的朋友事后才知道这件事,但还是告诉了你。
作为一顶白帽子,如果你赌荣誉和尊严,你必须拿回被偷的手机!但是我们该怎么办呢?我怎样才能和这个团伙取得联系?我们如何让他们归还手机?
当你看到钓鱼网站时,他有一个计划——找到管理员的账号、密码、背景地址和他的联系方式,这是第一步!
在理清思路后,10点以后,携程网迅速对钓鱼网站发起了攻击。他看了看略显低调的网站,认为没有专业技术人员在提供技术支持。哼,骗子还太年轻!因此,决定性地选择了最常见的xss攻击。
网络钓鱼网站输入密码后,网络钓鱼网站要求我输入秘密信息。我在答案输入框中输入了xss代码,然后成功提交。
以下是小白的教学时间:
Xss是一种跨站点脚本攻击,攻击者将恶意脚本代码插入网页。当用户浏览网页时,嵌入在网页中的脚本代码将被执行,从而达到恶意攻击用户的目的。
Carry _ your指出,恶意脚本代码都可以在互联网上获得,所以小白不应该害怕,他也可以查找并获得它们,从而进行xss攻击以获得背景地址。
在等待接收xs时,carry _ your觉得他不能把鸡蛋放在一个篮子里,所以他不得不寻找其他的漏洞。大写的智慧!
你使用了一个小工具来扫描和监控网站,并在网络钓鱼网站中发现了一个逻辑漏洞。通过会话劫持,carry _ your得到一个返回包,其中包括smtp(简单邮件传输协议)登录过程和管理员帐户密码,密码是base64编码的。
base64编码是在网络上传输8-8位字节码最常用的编码方法之一,可用于在http环境下传输长的标识信息。Base64编码是不可读的,也就是说,编码的数据不能被肉眼直接看到。
然而,base64编码实际上对于白帽来说相对简单,这再次证明了这个钓鱼网站的低。你很容易找到反编码工具,密码被破解了。
然而,电影中的反派是不能一下子被杀死的,他们总是有曲折的,或者编剧轻视观众的智商!这个说法在这个故事中也是正确的。
你告诉雷锋了。它旨在通过管理员的邮箱发件箱获取相关员工的信息。结果是-
我成功登录了管理员的网易邮箱,但不幸的是,他做了设置,发件箱里没有信息。
别灰心!我们应该接受挫折。
最后的漏洞不能再继续下去了。我又找了一遍,发现了另一个漏洞。这是一个注入,这是一个更新类型的错误注入。我得到了管理员的信息。
这里的注入指的是sql注入。通过在web表单提交或输入域名或页面请求的查询字符串中插入sql命令,服务器可以被诱骗执行恶意的sql命令。更新型错误注入是指在正常的数据库语句参数中插入伪装的恶意语句,使数据库引擎执行恶意语句并出错,暴露恶意语句查询的信息。
然后,说谎者的面纱被揭开了!如下图所示,您获得了许多管理员的信息。
与此同时,好消息接踵而至,骗子的内裤被脱掉,xss平台反馈了背景地址和密码信息。
密码也是base64编码的。取消编码后,背景地址、管理员帐户和密码都可用。登录后,随身携带这些锯子:
同时,随身携带您找到的46个账号、46个域名和46个管理账户邮箱。这个盗窃团伙没那么大!
与此同时,他还发现了许多关于受骗者的信息。原来有这么多的人被骗了...真令人心碎。你看,有两个朋友已经认真填写了两次,包括“你理想的工作是什么?”“吃饱了就饿”...只有骗子太狡猾了,而钓鱼网站稍微现实一点!
3.别不理我,我想认真点!收集完资料后,你开始和骗子们斗争。
把你的告诉雷锋。他给46个经理的邮箱发了一封邮件,并开始宣战。总的想法是“我已经得到了系统的管理权限,知道了网站的漏洞,想和大家谈谈。”
为了显示他协商的决心,你修改了一些经理的帐户密码,并清除了两个钓鱼网站收集的新骗子的id和密码信息。如果骗子没有时间支持,那么你知道。总之,它的意思是,不要忽视我,我要认真!
其中一个骗子收到了电子邮件,发现账户密码被修改,并添加了qq的随身携带,所以正面斗争开始了。
把你的告诉雷锋。com(注意“雷锋”的公开号。如果网络钓鱼网站一直受到攻击,受害者信息一直被删除,但是网站中存在漏洞,诈骗者不知道如何修复它们,那么诈骗者将遭受重大损失。
与此同时,如果诈骗者向1000个以前偷过他们手机的人发送了网络钓鱼网站的链接,并且这些链接为了避免carry_your的攻击而改变了域名,而受害者的信息还没有对这些信息做出反应,那么这就意味着之前的1000条短信都是白发苍苍的。
然后,经过一个下午的沟通,骗子终于妥协,并承诺归还手机。
4.归还手机-上演间谍战争剧。9月13日晚,骗子派来的信使提前预定了归还手机的地点。他没想到的是,骗子发来的短信还开着路虎发来的手机,呵呵。
信使把手机递给他的方式非常特别,就像间谍电影中的地下工作者连接器。将路虎停在马路对面很远的地方,迅速下车,走到指定的地方,平静地把手机放在地上,然后迅速回到车上。整个过程只有几分钟。你明白说谎者的目的:说谎者是在阻止警察蹲着...
我拿回了我的手机。0: 00,把这个好消息告诉我的朋友们。
事情结束了。然而,有多少手机仍在骗子手中?
随身携带_你认为如果你第二天没有收到网络钓鱼信息,没有及时的技术对策和调解,你一定认为手机已经在黑市上流通了,即使你攻击了骗子的网络钓鱼网站,你也不能拿回你的手机。
同时,他悲叹这是一个分工明确、沟通顺畅的盗窃团伙,一个下午就有可能在“机器的汪洋大海”中找到他的这位朋友。
可以看出,原来的手机号码也标在了这个手机上。据骗子说,在偷了手机之后,他们甚至会在图书馆登记时记录下盗窃地点等细节。
你害怕整个过程吗?没关系,要么成为一顶白帽子,要么有一个戴白帽子的好朋友,或者只是小心点,别弄丢了你的手机。然而,你将少了一个购买iphone7的借口!