我用着差不多的套路收拾差不多的骗子过着差不多的又一天!

栏目: 编程工具 · 发布时间: 6年前

内容简介:我是差不多先生,作为一个不打游戏的人来说,游戏带来不了多大的快感....

前言

我是差不多先生,作为一个不打游戏的人来说,游戏带来不了多大的快感....

我过着差不多的日子,吹着差不多的牛逼,写着差不多的代码,有着差不多的朋友圈,花着差不多的闲钱,差不多的又过了一天,skrskr

我正准备过着差不多的夜生活,收到一个我同学差不多的信息,说是绝地求生差不多的活动,我作为一个差不多的伪白帽,我关了那个差不多的窗口,But,作为他差不多的同学,我点了那差不多的钓鱼,又玩起了那差不多的套路,skrskr

正文

打开那个短网址 http://dwz.cn/O *****Mm,跳转到了一个域名上http://www.**qq.com/

首先,先来一波差不多的信息收集,对,没错,我先查了他的whois,很幸运,他没有开启隐私保护,他的姓名,吴*财(从名字就可以看出来,很缺钱),邮箱:2******[email]22@qq.com[/email]

有木有CDN,验证一波??香港服务器....这种非法站,用香港的很正常....

端口开放检测

目录扫描,找一波后台,cool,找到了后台,

其他的文件卵用都没有,所以,只好从后台下手了/*admin/index.php

看他这个后台,我心里活动是这样的

看到了客服的qq,就是之前whois上的那个qq:2*****22

我慌了,POST注入尝试一波

不存在注入??XSS盲打走一波,把能插的地方,全插一遍

What??应该是有差不多的安全软件在网站上

但是我不好受,我也不能让他好受,所以,上Python

file:///C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml\wps931.tmp.png

在登录处,我发现,只要是数字就行

Burp抓包,发现就3个参数u,p,bianhao

所以,我用 Python 生成一堆随机的qq号跟密码,然后利用requests来循环 POST 垃圾数据到对方的服务器,让他也找不到哪个是真的号,哪个是假的,啊哈哈哈

好了,想不到了,决定去看中国新说唱,让我炸起来,skrskr

啊哈哈,突然想到了,备份文件.....

站长可能没有删备份文件,于是我换了一个扫这个的字典,又是一波乱扫

这就很cool了,下载了这个data.zip发现里面竟然是install.sql

打开,翻翻数据

Md5解密

密码coolboy,卧槽,Are you kidding me??

额,好吧,找到safecode了,而且没有加密,开心

啊哈哈,这个safecode我第一眼看,身份证号,但是数了一下,14位,不够

352**020***527

不管了,先登录了后台再说

除了我批量提交的100000条,至多有73名受害者,不算太多....

批量提交的效果是这样的

数据太多了,涉及其他受害者的隐私,所以其他的我就不截图了...

看他没导出数据,所以接下来做的就是立马删除数据

准备修改密码的时候,发现

坑逼,改不了密码,卧槽,心态崩了

既然改不了密码,那行吧,我认了..想办法,getshell

没有上传的地方,任意执行啥的也搞不到...

想到了3306,21端口还没有用到

3306貌似不允许远程连接,放弃

21端口,FTP服务走一波

用字典生成,生成了一波很差不多的用户名,很差不多的密码

用户名就是ftp加qq号

密码就是他名字简称加那个safecode

定位,必须定位一波!!

所以,我又用了阿釉的方法

把xss代码插到了后台那

加他qq,了解一波,并开始一波套路

空间关闭,百度qq号,只有一些网站类似这样的黑页...

说实话,我觉得这html写的还没有txt好看,啊哈哈

开始套路他登录后台

现在的年轻人真的是,可以,很牛逼,上来就是打技术

然后打到了,现在的人真的是离不开手机了...

丢到经纬度查询的地方

定位到了这

福建省宁德市**区****村

过了一会,他又来找我了,真的是年少轻狂

气炸了,写黑页,挂上去,卧槽,这种人必须教训

我忽然有了一个很大胆的猜测,我怀疑啊,

他的safecode就是身份证的前14位

我既然知道他的姓名,所以来一波爆破,我用了Crazyman_Army表哥的接口

前14位+从0000到9999,验证与名字是否符合,符合就返回,于是我写了一个python程序,这个接口较敏感,就不公开了

爆破了出来,太cool了

接着,去查身份证照片

卧槽,简直是完美了,接下来,我要找个最炫的黑页,去装逼,啊哈哈哈

等不到空格表哥炫酷炫到超过最炫民族风的黑页了,只好用这个了

另外把服务器上其他的东西删了,再挂上黑页

去教育一下这个小黑客吧

这态度转变的,卧槽,简直就是720度托马斯全旋

反思与总结

小黑客,不公布啥信息了,我还是有着peace and love的,作为祖国的一棵绿萝,我还是得好好的保护未来祖国的花朵的,啊哈哈哈

大家在互联网上行走,还是要做好自己的个人信息保护..最好不要用同一套密码,不要把自己的隐私数据(身份证号之类的)放在互联网上

找到了个免费的身份证查头像的接口(免费查3次):

游客,如果您要查看本帖隐藏内容请回复

还是要附上工具...

游客,如果您要查看本帖隐藏内容请回复

最后,我还要说一句


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

搜

(美)约翰·巴特利 / 张岩、魏平 / 中信出版社 / 2006-1 / 35.00元

这个世界需要什么?如何任何一家公司能回答好这个问题,它就掌握了控制商业社会,乃至整个人类文明的万能钥匙。在过去的几年中,Google正在为获得这把钥匙而努力。虽然Google并非搜索业务的最早开发者,但它凭借着简明、便利、实用的搜索技术和理念,逐渐击败雅虎、Alta Vista等搜索领域的先锋,成为搜索行业名副其实的王者。 本书描述了Google如何从斯坦福一个不起眼的公司迅速崛起为“......一起来看看 《搜》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具