欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

看我如何指尖灵动找回现实中被偷的手机

来源:本站整理 作者:佚名 时间:2017-05-06 TAG: 我要投稿

3月7日,这个日期我记得非常清楚,正是最近很火爆的struts2-045远程命令执行漏洞爆发的这一天。这天的下午我正在疯狂的寻找被新漏洞影响的厂商系统~跟着师傅们了解完漏洞原理后,准备狠狠的往补天刷一波045~。但是这个时候接到家人的电话,得知家人在接可爱的小侄子放学时,手机被偷!?接着人生第一次拨通110竟是在手机被偷的情况下。
原本想先用iPhone的定位功能,但发现小偷将手机关机了(这也是定位功能的一个缺陷啊),于是我立马停下了手中的事,先让手机进入丢失模式吧~

报警以后,在调取监控的时候发现当时是幼儿园放学,人非常的多。而且显然监控并没有拍清楚小偷的相貌,得手后匆匆进入小巷离开了。那么仅有一个衣着特征,怎么去找这个小偷呢?简直大海捞针。在公安局做完笔录以后,陷入了沉思…
 
0x01
好几天过去了,警察并没有给我们抓获小偷的消息。但这个时候,事情有了转机!之前提到了,我把手机设置进入了丢失模式,所以小偷在重新打开手机并接入网络连接的时候,会自动进入丢失锁定模式,需要机主的iCloud账号登录才能解开。所以小偷换着号码,多次给我家人发来了钓鱼短信(包含账号钓鱼链接)。

0x02
小偷显然在尝试套取Apple ID账号密码,发送号码:0085264818634/ 0085253048809,发送的手机号码是网络虚拟号码,查询将会无从下手 但是得到了两个钓鱼网站的域名。
短信内容如图:

从两条短信中分别得到两个钓鱼域名:


通过ping命令可判断出两次的站点都属于同一个服务器,只是域名不同。

0x03
得到域名地址以后,开始收集数据,分析钓鱼网站的配置信息~

尝试寻找并进入后台~不磨叽,直接爆破后台地址(事先准备好asp环境的后台目录字典)

(显然小偷还使用的是默认地址manager 所以在这个寻找后台的过程中还是比较顺利的,字典仅仅跑了1分钟)

后台的登录系统是其他的CMS改写的,测试后发现不存在直接致命的漏洞,只能继续从社工和信息方面下手了。接下来就是想办法怎么进入后台了。
经过社工思维的交谈和语言魅力的轮番说服~客服给出了域名注册时的QQ和电话信息。

收集信息以后,果断可以利用字典生成工具:crunch它可以灵活的定制自己的密码字典

根据输入的信息工具会自动排列 定制出适合的字典库(自己也需要加入一些高危常用密码信息作为库存的 哈哈~)~用于账号密码的爆破。
半小时以后验证成功 得到账号密码。
0x04
进入后台以后,好戏才真正上演。各位师傅且听我慢慢道来~
先从IP下手,但在登录日志里,除了我自己的IP并没有发现其他人的?难道是小偷登录以后每次都会清除记录吗?或者系统设置了某一段时间长度内自动清理?我有了这些设想。

那我该怎么去寻找小偷的IP地址呢?于是我开始回到主页面,利用小脚本对钓鱼页面的登录口进行批量填窗提交~hhhhh在大概500狂轰滥炸的多次提交后,我想小偷应该也该收到了500多封邮件提示~
思路:大家都了解钓鱼网站的收取信息的回馈规则。只要一有信息填入,另一端小偷的邮箱或者手机号码就会收到网站的提示(类似于“xxx上钩了”)。根据心里分析,小偷在收到这样的提示的情况下,会立马登录网站后台查看数据或者信息,马上对被偷手机进行解锁。
于是我早就登录了小偷的账号,在后台的操作日志页面等待小偷上线。果然,他上线清理后台这500多条没用的账号密码信息了。估计他还在郁闷这是谁给刷了这么多垃圾…而我已经悄悄的和他在同一个后台,从他的删除行为中拿到了他的IP地址~小偷哪里逃!

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载