查看: 1466|回复: 23

精准入侵号码交易网 与 黑客远程定位

[复制链接]

3110

主题

3941

帖子

74万

积分

管理员

大师

Rank: 9Rank: 9Rank: 9

积分
747345
资源币
1081280
热心值
635471
在线时间
1650 小时
注册时间
2015-4-26

推广达人宣传达人突出贡献优秀版主荣誉管理

发表于 2018-12-23 22:26:18 | 显示全部楼层 |阅读模式
一)小骗子
小读者打算买6位数的QQ号,发来个网址,问是不是骗子。
顺手打开网址~网页如下图。
哎,如今的骗子真是越来越不长进了。
哥哥之前写过多篇行骗大术,行骗首先要真,其次要满足幻想。
以这个网站为例,价格真、网站真、执照真、备案真、编的真,才能骗大钱。
所谓价格真,只需将6位号的价格定为3千起,平均售价只需低于市场价20%,就能用价格营造出靠谱便宜的感觉;
所谓网站真,只需换个网址,即可不被360拦截;
所谓执照真,随手百度搜“执照”,就有一大堆高清无码营业执照;
所谓备案真,随手百度搜“备案域名”,76元就能买到备案域名,国家工信部官网可查,用来诓骗无知小白最适合不过了;
所谓编的真,只需在网站写,可线下当面交易,没几个傻子会为几千元不远千里,长途奔袭,当面交易,但却能营造出信赖感。
一切如下图,轻而易举就能搞定。
这个骗子的手法实在太拙劣了。
查询域名whois,发现网站是2013年做的,百度后发现上当的人还挺多。
二)精准攻击
对付骗子的常规方法就那么几种。
优雅流:入侵骗子网站删除源码。
暴力流:直接攻击,让网站打不开,百度会降低这个站的关键词排名,就不会有人再被骗。
社工流:加对方好友,获取信任,通过木马、钓鱼等方式获取对方的个人信息。
身为一个懒癌晚期,暴力流最适合我,但还是先用优雅点的方法尝试。
随意点开骗子网的某个链接,链接如下:

http://www.377y.com/shop_show.asp?id=20317

首先想到最主流的“SQL注入”攻击,SQL注入的原理非常简单,网址末位的“id=20317”,每个数字都代表一个网页,而网页内容都存在数据库。用户打开某个网址,程序会进入数据库查询“id=[数字]”这个网页,并显示给用户。
但用户也有好坏,如果坏人在“id=20317”的后面执行特殊的语句,就能从数据库获取特殊信息,例如管理员密码。
一般情况下,网站都有做拦截,禁止用户输入特殊语句,但程序是人写的,这么多页面,总有疏忽的时候。
先在网址后输入“and 1=1 ”,发现页面打开正常。

http://www.377y.com/shop_show.asp?id=20317 and 1=1

然后在网址后输入“and 1=2”,网站报错,什么都不显示。

http://www.377y.com/shop_show.asp?id=20317 and 1=2

小学生都知道,1=1是对的,1=2是错的。程序和小学生一样聪明,1=1是对的,那就正常显示,1=2是错的,数据库就报错。
这个代码的意义是判断网站是否会拦截特殊指令,综上我们知道,可以随便输入代码进入数据库查询任何信息,网站并没有拦截。
接下来,可以手动输入指令,查询网站密码,也可以用“Pangolin ”、“啊D”、“SQLMAP”等软件自动查询。
但是哥哥尝试了所有软件,但全部失败。
网站使用的是Access数据库,已经确定存在SQL漏洞,软件尝试了936次,但获取不到数据库的表段。
一般的数据库表段是“admin”、"guanli"、“administrator”…. 软件自带了成百上千个几乎包含了各种可能的表段名,但这个网站的表段太特殊,居然没有一个是正确的。
还有一个思路,如果能知道这个网站用的哪套程序,下载这套程序,打开数据库看一下,就能知道数据库表段。
百度搜“CMS识别”,打开好几个在线识别源码的网站,输入要查询这个网址。
但是,居然没有一个网站可以成功识别,全部失败!
这种情况,一般就可以放弃了,但哥哥还想多试试,人工看源码,也许代码中能找到蛛丝马迹。
鼠标右键,查看源代码,一眼就看到想要的信息。

name="author" content="Erox"  ,以哥哥的小学英语水平,这句话的意思是,程序的作者是“Erox”;

百度搜:“erox 号码 源码”
成功找到源码的下载地址,这套程序2013年就有了,还有很多人对外出售。
下载源码,找到数据库文件,直接打开。
原来存管理员信息的数据库表段的是“erox_admin”,存管理员登录名的字段是“name”,存管理员密码的字段是“password”
接下来,打开软件,添加字段“erox_admin”,用软件自动进行SQL注入攻击,获取网站管理员密码。
成功破解管理员的用户名和密码,用户名是“admin”密码是“7fef6171469e80d32c0559f88b377245”;
几乎所有的网站都是MD5加密,密文是16位或32位,这个网站也是如此。
打开md5解密网站 www.cmd5.com,输入密文,成功解密。
知道管理员用户名和密码后,就可以登录。
但是,找不到登录登录页面,这套程序的默认的管理员登录后台是"erox",正常情况下输入“http://www.377y.com/erox”就可以登录,然而小骗子修改了登录后台,所以即便有密码也没地方登录。
这种情况下其实也简单,用软件批量扫描管理登录页面,只要时间多,必然能成功。如果为了泄愤,直接攻击,5秒内必然瘫痪。
这个站没什么价值,花时间破解太浪费时间了,还不如试试同套程序做的其他网站。
哥哥随手找到十几个卖各种号的网站,批量SQL注入,批量解密,成功登陆一批网站的后台。
如下图:
点击订单管理,发现很多买手机号的信息。
大多数人是货到付款,极少数人用在线支付。
【已经告诉了网站管理员漏洞,大家就不用试了。】
聪明的读者,一定能想到怎么利用。
截单!
只要有人在他们网站下单,黑客获取用户订单后,自己给用户发货,然后删除网站的订单记录,这样就能神不知鬼不觉得赚钱。
手机靓号堪称暴利!
截单大法在以前很流行,黑客获取大量做百度竞价排名网站的权限,用户网站下单,黑客提前获得订单信息,删除订单数据,自己私下发货… 无比暴利。
传说级的大神,获取大量业务网站的信息,每个网站每天只偷一单,赚钱轻松写意,春风化雨。
三)远程定位
自从《实战黑客批量入侵 轻松拿下1000个网站》这篇发了之后,收到好多问题,有读者问远程定位怎么做。
想定位一个人的位置其实很简单,三流的技术,外加一点技巧就足够了。
先加上对方的微信/QQ,聊熟后发个链接,对方点击后,就会泄露精准的位置,下图是哥哥的测试。
发个假红包或者比较诱惑文章,对方点开后,会提示获取当前位置。
一般人都会点同意,程序就能统计到具体的经纬度。
在查经纬度的网站,输入前面获取的经纬度信息,就能得到目标的精准位置。
经纬度查精准位置:http://www.gpsspg.com/maps.htm
哥哥既不会编程,也没有高深的技术,全程百度搜索,找到很多现成的代码,简单编辑一下,上传到自己的主机,就能使用了。
这个定位代码,过些天完善之后,免费分享。
http://1230.la/9460.html
游客,如果您要查看本帖隐藏内容请回复

评分

参与人数 1资源币 +1 热心值 +1 收起 理由
spc + 1 + 1 楼主威武,继续加油

查看全部评分

*每天都有免费送资源币的机会,不送就浪费了

点击帖子下面的评分,评分不扣自己的币;
免费帮你喜欢的帖子加资源币和热心值,鼓励发布好内容;
回复

使用道具 举报

1

主题

54

帖子

17

积分

新手上路

Rank: 1

积分
17
资源币
157
热心值
0
在线时间
27 小时
注册时间
2018-10-23
QQ
发表于 2018-12-24 00:04:43 | 显示全部楼层
谢谢奉献!
回复

使用道具 举报

12

主题

290

帖子

29

积分

新手上路

Rank: 1

积分
29
资源币
172
热心值
0
在线时间
80 小时
注册时间
2018-9-11
QQ
发表于 2018-12-24 00:17:53 | 显示全部楼层
暴露  钼  要以在在在

190

主题

791

帖子

522

积分

高级会员

Rank: 4

积分
522
资源币
861
热心值
246
在线时间
145 小时
注册时间
2018-6-9
QQ
发表于 2018-12-24 08:27:06 | 显示全部楼层
膜拜~谢谢大兄分享!
但行好事,莫问前程

5

主题

356

帖子

77

积分

新手上路

Rank: 1

积分
77
资源币
638
热心值
8
在线时间
188 小时
注册时间
2018-8-24
QQ
发表于 2018-12-24 08:31:49 | 显示全部楼层
v587!                                    

2

主题

181

帖子

22

积分

新手上路

Rank: 1

积分
22
资源币
169
热心值
3
在线时间
77 小时
注册时间
2018-11-9
QQ
发表于 2018-12-24 09:07:42 | 显示全部楼层
666666666666666666

5

主题

137

帖子

37

积分

新手上路

Rank: 1

积分
37
资源币
301
热心值
2
在线时间
54 小时
注册时间
2018-12-7
QQ
发表于 2018-12-24 09:27:18 | 显示全部楼层
牛,无极领域,

64

主题

733

帖子

412

积分

中级会员

Rank: 3Rank: 3

积分
412
资源币
2298
热心值
117
在线时间
122 小时
注册时间
2018-3-18
发表于 2018-12-24 12:59:55 | 显示全部楼层
不明觉厉
回复

使用道具 举报

0

主题

23

帖子

2

积分

新手上路

Rank: 1

积分
2
资源币
18
热心值
0
在线时间
5 小时
注册时间
2018-11-27
QQ
发表于 2018-12-24 13:35:13 | 显示全部楼层
不错的文章

1

主题

81

帖子

4

积分

新手上路

Rank: 1

积分
4
资源币
30
热心值
0
在线时间
14 小时
注册时间
2018-9-6
QQ
发表于 2018-12-24 15:10:56 | 显示全部楼层
66666666666666666
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表