注意，你注册的假1024可能就是它_卢松松

http://blog.sina.com.cn/u/1234557003

首页博文目录关于我

个人资料

微博

加好友发纸条

写留言加关注

博客等级：
博客积分：

博客访问：
关注人气：
获赠金笔：0支
赠出金笔：0支
荣誉徽章：

正文字体大小：大中小

注意，你注册的假1024可能就是它

(2017-03-04 13:48:53)

标签：

it

　　近年来，随着信息技术的迅猛发展，网络已经成为我们生活不可或缺的一部分。网络小芬给我们带来方便快捷的同时，也成为诈骗犯罪的温床，不发分子利用网友的好奇心理，制作上线钓鱼网站诱骗消费者。钓鱼网站是不法分子尽心网络诈骗的主要手段之一。

http://upload-images.jianshu.io/upload_images/2014435-d3d85ef6ddcae1dd.jpg?imageMogr2/auto-orient/strip

　　今天讲的就是一次对钓鱼渗透到社工的经历

　　废话不多说看图跑进来的请认真看记好笔记

　　目标站 http://www.caoliu10240.com/

　　1024大家并不陌生把没错今天说的就是一个草榴的钓鱼网站，网站是假的，可收集你个人帐号和密码信息确实真的!

http://upload-images.jianshu.io/upload_images/2014435-c2462fdf31e81a7b.jpg?imageMogr2/auto-orient/strip

　　点击任何东西都要你注册抱着激动的心情我们注册一个试试，然而注册完了需要你交钱成为vip才能给你看，或者还有一个办法就是要你推广到各个群

　　要有是个人通过你的邀请连接注册了那么你就能不用交钱成为会员，我相信大部分人都会选择丢到个大群让别人去注册把，然而就算通过你的邀请连接注册了上百人上万人你也根本不会成为那传说中的SVIP

　　然而这并没有什么卵用，他们的目的就是为了收集你的帐号密码，然后通过你发送的邀请连接收集跟多人个人账户密码，滚雪球一样，没有限制，也没有终点!

http://upload-images.jianshu.io/upload_images/2014435-0948e2c3038c2de4.jpg?imageMogr2/auto-orient/strip

　　下面就是日战环节国际惯例随手试了一个admin找到了后台熟悉的界面

　　良精南方cms

http://upload-images.jianshu.io/upload_images/2014435-a32c3432f5ede53e.jpg?imageMogr2/auto-orient/strip

　　直接利用越权添加账户密码漏洞添加一个管理员然后我们进入后台看看把。

http://upload-images.jianshu.io/upload_images/2014435-ab14df6475a8fc5b.jpg?imageMogr2/auto-orient/strip

　　阉割版试了几种那shell方法就不成功编辑器组建被删除上传点被删除网站配置没敢插怕插坏了配置线面工作就没法干了继续看：

http://upload-images.jianshu.io/upload_images/2014435-b7934fc225f7ca27.jpg?imageMogr2/auto-orient/strip

　　截止到昨天就有10000+用户的信息被收集用户名密码邮箱

　　既然搞不定shell 那么我们就搞管理员了

　　通过whois信息查询到邮箱一枚

http://upload-images.jianshu.io/upload_images/2014435-b96f9869c527e099.jpg?imageMogr2/auto-orient/strip

http://upload-images.jianshu.io/upload_images/2014435-0adbeabb4083926e.jpg?imageMogr2/auto-orient/strip

http://upload-images.jianshu.io/upload_images/2014435-961c83b1523e6837.jpg?imageMogr2/auto-orient/strip

　　空间里面都是买药的不知道药是真是假

http://upload-images.jianshu.io/upload_images/2014435-9bd04d1902bdb039.jpg?imageMogr2/auto-orient/strip

http://upload-images.jianshu.io/upload_images/2014435-64b70b7ef4dc0363.jpg?imageMogr2/auto-orient/strip

　　不敢相信一个妹子搭建黄色网站收集用户个人信息继续社工

http://upload-images.jianshu.io/upload_images/2014435-9da48517b69c7222.jpg?imageMogr2/auto-orient/strip

　　通过百度得知他有经常活跃在糗事百科

http://upload-images.jianshu.io/upload_images/2014435-af34e130241782f7.jpg?imageMogr2/auto-orient/strip

　　用户名为風夜殤

http://upload-images.jianshu.io/upload_images/2014435-aa23844e8e3fbc15.jpg?imageMogr2/auto-orient/strip

　　通过这条信息可以知道他是做网赚的好了继续翻

http://upload-images.jianshu.io/upload_images/2014435-b9cd304213453ffa.jpg?imageMogr2/auto-orient/strip

　　他给评论别人帖子要种子这个不像是妹子能做出来的啊从这里得到了另一个

http://upload-images.jianshu.io/upload_images/2014435-f5ce631cfae8ea67.jpg?imageMogr2/auto-orient/strip

　　通过这个qq的QQ群历史备注查出来名叫申燕鹏完全一个妹子的名字啊目测这个是生活号进空间看看

http://upload-images.jianshu.io/upload_images/2014435-6886f81c27ef9a54.jpg?imageMogr2/auto-orient/strip

　　可以推断 1月27是生日今年20 那么就是1997年出生的 19970127

http://upload-images.jianshu.io/upload_images/2014435-5975a72a9655f306.jpg?imageMogr2/auto-orient/strip

　　经常在这里运动坐标河南省郑州市

http://upload-images.jianshu.io/upload_images/2014435-352741646a991f43.jpg?imageMogr2/auto-orient/strip

http://upload-images.jianshu.io/upload_images/2014435-0e384874536f31cb.jpg?imageMogr2/auto-orient/strip

　　通过留言板找到手机号但是是2012年的不确定现在还用不用了

http://upload-images.jianshu.io/upload_images/2014435-a54da2322d03f066.jpg?imageMogr2/auto-orient/strip

　　百度搜索qq号得到百度帐号

http://upload-images.jianshu.io/upload_images/2014435-13c403e86b82ce8b.jpg?imageMogr2/auto-orient/strip

　　关注1024那你还关注戒色在下佩服虽然关注了微博互粉但是我并没有找到他的微博技术不够啊通过关注的小米贴吧可以猜测他用的是小米手机

　　现在有了手机号两个QQ号还有一个百度帐号还有一个常用用户名

　　我们继续用用户名搜索一下了

　　得到他在dosyp论坛有帐号测试帐号密码有惊喜户名名和密码是一样的

http://upload-images.jianshu.io/upload_images/2014435-85c187de9c5262ea.jpg?imageMogr2/auto-orient/strip

　　可以看到这就是他生活号邮箱我们继续搜索

http://upload-images.jianshu.io/upload_images/2014435-da9b4702b4f76230.jpg?imageMogr2/auto-orient/strip

　　注册了知乎我们继续登录测试

http://upload-images.jianshu.io/upload_images/2014435-5e86ad89d2c0ec68.jpg?imageMogr2/auto-orient/strip

　　经过几次测试用生活号邮箱+某度账户名登录成功

　　一个二十岁的小伙子整天关注的都是些什么鬼

http://upload-images.jianshu.io/upload_images/2014435-8c7a7f5b02376d11.jpg?imageMogr2/auto-orient/strip

　　这个站密码猜死我了最后没办法用钓鱼网站后台密密码登录测试成功了可以确定是这个人

http://upload-images.jianshu.io/upload_images/2014435-c457ea19a40472cc.jpg?imageMogr2/auto-orient/strip

　　可以确定是这个人了

http://upload-images.jianshu.io/upload_images/2014435-6f48bc0668ed4311.jpg?imageMogr2/auto-orient/strip

　　通过ip查出来的地址

http://upload-images.jianshu.io/upload_images/2014435-4aae2130499e277a.jpg?imageMogr2/auto-orient/strip

　　通过生活号+黄色网站后台密码登录成功

http://upload-images.jianshu.io/upload_images/2014435-a31b1c40dd001fa9.jpg?imageMogr2/auto-orient/strip

　　通过生活号邮箱+某度帐号登录成功

　　然而本人不才没能拿下百度帐号

　　为了验证手机号他现在还在用我去登录小米试试

http://upload-images.jianshu.io/upload_images/2014435-948bf17fbf9b59ae.jpg?imageMogr2/auto-orient/strip

　　通过两小时的猜测密码还是和前面的某站用户名一样 +手机号登录成功但是异地登录要手机验证怎么绕过那突然想到了登录小米论坛不需要验证

　　然后去登录小米论坛

http://upload-images.jianshu.io/upload_images/2014435-ec9381e79d147560.jpg?imageMogr2/auto-orient/strip

　　小米论坛登录成功

http://upload-images.jianshu.io/upload_images/2014435-b877fe5cf1991d85.jpg?imageMogr2/auto-orient/strip

　　通过小米的手机找回定位成功

http://upload-images.jianshu.io/upload_images/2014435-e47d30ef2b340660.jpg?imageMogr2/auto-orient/strip

http://upload-images.jianshu.io/upload_images/2014435-70090a5c85786267.jpg?imageMogr2/auto-orient/strip

　　有两台设备然而想查看手机相册通讯录需要手机验证或者邮箱验证这两个一个没拿下来太可惜

http://upload-images.jianshu.io/upload_images/2014435-f30db7159ee02dea.jpg?imageMogr2/auto-orient/strip

　　登录米聊可以确定手机号是他现在还在用的

　　然而名字是妹子的名字感觉名字出错了所以用手机号

　　去找回密码测试

http://upload-images.jianshu.io/upload_images/2014435-50f18747d555eac7.jpg?imageMogr2/auto-orient/strip

　　*炎朋

　　不对啊前面QQ群关系查出来的不是这个名字啊通过对照 QQ群馆续得到的是申燕鹏然而我们支付宝的又不一样直接转账会提示验证名字

　　出来得就是后面两个字我们第一个试试申验证功过

　　最后得出的结论真实姓名申炎朋

http://upload-images.jianshu.io/upload_images/2014435-8259aa30685aa031.jpg?imageMogr2/auto-orient/strip

http://upload-images.jianshu.io/upload_images/2014435-368cf4a21137e5ff.jpg?imageMogr2/auto-orient/strip

　　世纪佳缘

http://upload-images.jianshu.io/upload_images/2014435-24fd7ce739296793.jpg?imageMogr2/auto-orient/strip

　　从这里可以看的出来他只在找人做那个钓鱼网站 2015年1月16号开始策划到现在已经两年了

　　我们继续测试密码登录猪八戒网

　　通过生活号邮箱+钓鱼网站后台登录密码成功进入猪八戒网

http://upload-images.jianshu.io/upload_images/2014435-e3bc6a0ed7dbd89a.jpg?imageMogr2/auto-orient/strip

http://upload-images.jianshu.io/upload_images/2014435-b07a7a32780b1fad.jpg?imageMogr2/auto-orient/strip

　　从这里再次确认手机号就是他的

　　还有通过手机号找到的微信号啊 qq号找到的微信号啊什么的都不贴出来了

　　信息都明确了

http://upload-images.jianshu.io/upload_images/2014435-5a10675cd8121532.jpg?imageMogr2/auto-orient/strip

　　他们收集这些信息有啥用

　　用处太多了每一条都能影响到你钱财安全甚至是人生安全大家可以自行百度信息泄漏的危害

　　保护个人信息的常用方法(良好的习惯)

　　1.不要使用简单的密码。123456，名字拼音+生日(123)之类的.(网友提醒可以在原密码后加上+1s)

　　2.不要N个网站用同一个密码，防止撞库。

　　3.不要随便在网上留QQ放真名甚至是你的身份证号。

　　4.不要随便连接公共WiFi。

　　5.不要用安全性弱的邮箱(我没有针对任何厂商)并且不要用该邮箱绑定支付宝或者苹果ID。

　　6.家里的WiFi管理后台账号密码不要设为默认，必要的话可以做一下MAC绑定。

　　7.分辨钓鱼网站。

　　8.不要随便扫二维码。

　　9.不要随便接收来历不明的文件。

　　10.我个人不推荐小白的电脑不安装安全防护软件。

　　11.如果知道自己注册的网站曝出安全问题，立马去改密码。

　　12.登陆开启二次验证。

　　13.淘宝购物订单不建议填写真名

　　来自微信公众号-------网络小捕快

　　来源：卢松松博客，欢迎分享，(QQ/微信：13340454)

阅读┊ 收藏 ┊ 喜欢 ▼ ┊打印┊举报/Report

前一篇：搞大流量很难，但搞精准流量很容易

后一篇：写给曾经风起时站长们的一封信

新浪BLOG意见反馈留言板　欢迎批评指正