原文链接:
https://blog.byhi.org/archives/f9abf4e9.html 原文
科普下什么是暗网 暗网(英语:Dark web)是存在于黑暗网络、覆盖网络上的万维网内容,只能用特殊软体、特殊授权、或对电脑做特殊设定才能访问。暗网构成了深网的一小部分,深网网络没有被网络搜索引擎索引,有时“深网”这一术语被错误地用于指代暗网。
构成暗网的黑暗网络包括F2F的小型点对点网络以及由公共组织和个人运营的大型流行网络,如Tor、自由网、I2P和Riffle。暗网用户基于常规网络未加密的性质将其称为明网。Tor暗网可以称为洋葱区域(onionland),其使用网络顶级域后缀.onion和洋葱路由的流量匿名化技术。 —《维基百科-暗网》词条的解释
Deep web/Dark web/Darknet 的区别 深网”(Deep web) 是指服务器上可通过标准的网络浏览器和连接方法访问的页面和服务,但主流搜索引擎不会收录这些页面和服务。搜索引擎之所以不会收录深网,通常是因为网站或服务的配置错误、拒绝爬虫爬取信息、需要付费查看、需要注册查看或其他内容访问限制。
“暗网”(Dark web) 是深网中相对较小的一部分,与被故意隐藏的 Web 服务和页面有关。仅使用标准浏览器无法直接访问这些服务和页面,必须依靠使用覆盖网络 (Overlay Network);而这种网络需要特定访问权限、代理配置、专用软件或特殊网络协议。
“黑暗网络”(Darknet) 是在网络层访问受限的框架,例如 Tor 或 I2P。私有 VPN 和网状网络 (Mesh Network) 也属于这个类别。通过这些框架的网络流量会被屏蔽。当进行数据传输时,系统只会显示您连接的黑暗网络以及您传输了多少数据,而不一定会显示您访问的网站或所涉及数据的内容。与之相反的是,直接与明网(Clean Net)或与未加密的表网服务和深网服务交互。在这种情况下,您与所请求资源之间的互联网服务提供商 (ISP) 和网络运营商可以看到您传输的流量内容。
安装 这里使用centos7作为服务器
首先扩展yum源 这里推荐下面两个yum源,建议服务器初始化的时候就是用这两个yum源作为软件的扩展
1 2 rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm 然后安装nginx 1 yum -y install nginx 安装tor 1 yum -y install tor 配置 先配置nginx 打开nginx的配置文件,让nginx监听8080端口
1 2 3 4 5 6 7 8 server { listen 8080; location / { root /www/tor; index index.
不知不觉
又到了周五了
伴随着一周的小尾巴
开始我们今天的一周IT新闻盘点吧
我们曾如此期盼外界的认可,到最后才知道:世界是自己的,与他人毫无关系。—杨绛
1
网络黑产无孔不入
随着社会进入数字经济时代,网络黑产不再是散兵游勇式的单打独斗,已经演化成具有专业分工、链条化运作特征的产业。提及网络黑产,就绕不开暗网,暗网复杂隐蔽,承载着大量的信息资源且鱼龙混杂,成为助长网络犯罪的重要工具。
2
工信部组织召开综合整治骚扰电话专项行动
8月15日,工信部信息通信管理局在北京组织召开综合整治骚扰电话专项行动工作会,进一步加大骚扰电话源头治理力度,深入推进骚扰电话综合整治。最高人民法院、最高人民检察院、教育部、公安部、司法部等十三部门参加会议。
3
智能锁百万指纹泄密,攻击者可进入任何地方!
近日,研究人员在生物识别公司Suprema的智能锁系统中发现了一个可公开访问的生物识别数据库安全漏洞,能够访问超过100万人的身份验证数据。该数据库超过2780万条记录的数据,包括指纹、面部识别数据,甚至还有员工的个人信息。
4
三大运营商回应降速传言 4G不会降速
近日,有传言称4G网络速度下降,目的是“为了推广50”。对此,记者分别致电三大运营商,相关客服工作人员均对此表示否认,并表示5G速度会更快,没有接到4G会降速的通知。
对于5G推出了4G是否会降速的疑问,一位客服明确表示,“5G网速会更快,4G不会降速。”他表示,没有接到公司通知。
独立电信分析师付亮指出,从日常使用来看,4G的下载速率通常在数十兆的量级,20-30Mbps、30-40Mbps的速率均属于正常范围,也较为常见。关于5G推广对4G网速是否会有影响,付亮认为,目前阶段5G非独立组网与4G有共用资源,从这角度看有可能对部分双载波4G+的百兆以上超高网速略有降低,但对普通4G用户来说不会有影响,并不会带来4G降速。
三大运营商客服昨日回复相关咨询时均表示,用户只需更换一部56手机,不换卡不换号即可接收到56信号。同时运营商目前相应的5G体验包提供免费体验流量。
5
数字人民币初露真容:非网络支付或电子钱包
在日前举行的第三届中国金融四十人伊春论坛上,央行支付结算司副司长穆长春表示,央行下属的数字货币研究所早于2018年就开始了数字货币系统的开发,央行数字货币已是“呼之欲出”。目前,该所已经申请了74项涉及数字货币技术的专利。央行数字货币是基于国家信用、由央行发行的法定数字货币,与比特币等“虚拟货币”有着本质区别。穆长春表示,以往电子支付工具的资金转移必须通过传统银行账户才能完成,而央行数字货币可脱离传统银行账户实现价值转移,使交易环节对账户依赖程度大为降低。
6
蓝牙存在泄露隐私风险,你一直开着吗?
波士顿大学研究人员发现,部分蓝牙设备上,蓝牙通信协议存在的漏洞,会导致个人信息被窃取,允许第三方追踪设备所在位置。Windows 10、ioS、macOS等软件系统以及Apple Watch、Fitbit手环等设备上都存在此漏洞。
7
App存隐忧莫让便民利器成扰民工具
在对上百款App代码进行了“全景扫描”后发现,有超8成App安装包中均含有超出其业务范围的权限代码;有过半数的App含有索取用户通讯录的代码。这意味着,用户对“隐私协议”点下“我同意”的按钮时,也向App敞开了隐私的大门。
8
App超半数留索取用户通讯录”后门”
据报道,109款App中嘀嗒出行、百合婚恋、和包支付、瑞钱包、e代驾、飞嘀打车、中国工商银行、悟空理财、平安好医生、开心消消乐10个App申请的敏感权限最多;83.6%的App含越界代码,中移动旗下的和包支付“越界”严重。
9
大量App存在读写用户设备文件等异常行为
国家互联网应急中心8月13日发布《2019年上半年我国互联网网络安全态势》。这份报告指出,我国移动APP违法违规使用个人信息问题十分突出,大量APP存在探测其他APP或读写用户设备文件等异常行为,对用户的个人信息安全造成潜在安全威胁。
10
iOS 12.4系统遭黑客破解 漏洞危及数百万用户
在最近的一次iOS 12.4系统更新中,苹果公司无意中恢复了在先前版本中修复过的一个漏洞,从而使得当前iOS 12.4版本系统遭到了黑客的破解,继而为众多iPhone用户带来了多年以来唯一一次最新系统的公开越狱机会,而这也将为苹果公司带来一系列的安全风险。
当趋势科技在2015年开始分析地下市场的恶意样本时,发现ATM相关的恶意软件并不常见。在当时,南美洲和俄罗斯的一些犯罪团伙集中研究了ATM机器的工作原理,并制作了专门的软件来攻击它们,此事名噪一时。ATM机器和我们一般使用的Windows环境有很大的不同,攻击者需要了解很多特殊的API接口以及它们是如何与特定的银行应用交互的。
此后,我们与Europol的欧洲网络犯罪中心(EC3)合作,向公众宣传了针对ATM的不同种类的网络威胁以及发展趋势。接下来我们不停针对ATM所面对的威胁发出自己的声音,并写了一篇文章详细介绍多年来出现的ATM恶意软件家族。
相关研究:针对ATM的恶意软件:全面了解各种攻击类型
现如今,在ATM恶意软件领域我们观察到了很多最新的变化,但最重要的一点不是和技术有关:ATM恶意软件已经成为地下网络犯罪论坛的一个共同而显著的特征,它已经是攻击者用来窃取现金的武器库的一部分。ATM恶意软件已经成为一种普通的商品,任何一个投资1000美元的罪犯都可以立即开始攻击ATM。
值得注意的是,这些恶意软件来自讲俄语的销售商。这当然并不代表南美黑客组织已经停止攻击ATM,而是表示俄罗斯的黑客组织拥有一个更加活跃、繁荣的非法市场,那里的恶意软件需求旺盛。
ATM恶意软件101:犯罪建议和在线帮助 当你购买网络犯罪产品时,不仅仅会得到恶意软件,通常,这些软件的销售商还会提供使用指导、建议和故障排除指南。
举个例子,最广为人知的ATM恶意软件之一,Cutlet Maker,详细描述了成功攻击所需的硬件,以及程序的详细使用说明。
Cutlet Maker软件的主要一部分:对ATM品牌和型号的描述,以及攻击它所需的设备
除了通用的“用户手册”外,卖家还分享了关于如何在不同环境下进行软件故障排除的建议。以下是本指南引言的翻译:
“原始手册和第二个手册概述了软件工作所需的所有条件。Tav真的拥有一切。而在这本手册中,我将介绍如何克服有可能出现的困难,这充分结合了我自己的经验。” 我们无法确定这段话中的“Tav”是指恶意软件还是手册的编写者,亦或是该恶意软件的内部名称。这份文档将手册的作者标识为“Bogdan”。
上图是Cutlet Maker故障排除指南的屏幕截图。作者介绍了ATM机的USB端口位置,以及如何设计一个连接USB电缆和访问内部USB端口的工具。
这份指南还详细描述了ATM机器的内外部细节。以下是卖家建议的翻译:
“我们需要的端口位于ATM上方塑料盖的后面,紧贴其后的往往是银行的广告纸。这个盖子通过三点固定,它们分别位于塑料盖的左上侧、中间和右侧。轻轻地撬动工具,避免盖子破裂,然后将其放在ATM的顶部。接下来我们拿出一个手电筒往里照,可以看到了以下画面:”
以上图片描述了一旦移除内部USB端口的面板,攻击者将看到什么。卖家还提供了一些使用手机的建议,以躲避执法部门的追踪。
除此教他人如何物理攻击ATM,卖家还会提供一些软件技术支持。例如,如果目标计算机受防病毒程序保护,如何禁用已安装的安全软件。
“就像禁用Adobe服务一样。我们先进入任务管理器的“Startup”选项卡,取消其开机运行。然后进入防病毒软件文件夹c:/program…/our antivirus/,将.exe的名称更改为任何其他名称。 你现在已关闭防病毒软件,可以从闪存中运行恶意软件了。” 以上这种方法是一种很简单的方法,不适用于更先进的ATM安全解决方案。但是,并不是所有的ATM都使用了最新的安全方案。
上图主要说明如何禁用防病毒程序。
案例研究:ATM恶意软件经销商 ATM恶意软件正在成为地下犯罪论坛中的常见产品,它也不再是以前那种奇特或小众的东西了。一个卖家甚至可以提供了多个种类的ATM恶意软件。这些卖家也不是恶意软件的作者,他们基本上都是经销商,从销售中提成的。
上图为一个地下犯罪论坛的恶意软件列表。
以上为三个地下犯罪论坛的软件列表,显示同一卖家提供了不同种类的ATM恶意软件。
在浏览这些犯罪论坛时,我们注意到了一个专门出售ATM恶意软件的经销商,我们决定仔细查看用户的个人资料。M_xxxxx发布了多个帖子,在论坛上兜售许多不同种类的ATM恶意软件。
根据其买家和其他论坛用户的评论,这个用户似乎不是这些软件的原始作者,只是个经销商。这个人在多个帖子中表示:“我以更低的价格销售相同的软件”。此外,此人还有视频说明,演示恶意软件的工作原理,视频发布在网站Darkvideo上。不过,也有其他论坛用户指责这个卖家销售的软件无效。他旁注中的俄语像是用机器翻译的,这意味着他的母语不是俄罗斯语。
M_xxxxx的各种ATM恶意软件的价格如下:
Winpot——1000美元 HelloWorld——1000美元 Annuit Coeptis——500美元 Alice——300美元 Cutlet Maker——200美元 ATM恶意软件或将影响银行安全 在过去两年中,地下犯罪论坛中提供的ATM恶意软件数量显著增加。这种类型的恶意软件过去只专属于知名犯罪团伙,现在正成为一种主流工具,很多人都有购买意向。总而言之,任何有几百美元的犯罪分子都可以攻击ATM了。
有些恶意软件纯粹是骗局,但另外一些似乎能正常攻击。事实上,我们已经看到不少买家的好评,特别是一些知名的恶意软件,更是广受欢迎。这让人想起银行木马的那段“群雄逐鹿”的时代。
虽然不少针对ATM的攻击手段还很低级,但不幸的是,这个世界还存在很多无保护的ATM机,可能只有发生大规模的ATM攻击,这种情况才会逐渐改善。
请记住,随着时间推移,那些未受保护的ATM遭受攻击的风险会疯狂增加。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2740.html 来源:https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/crimeware-for-sale-the-commoditization-of-atm-malware-in-the-cybercriminal-underground?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0619_atm
一、前言
相信大家对暗网这个概念并不陌生,众所周知,暗网藏着一个暗黑版的交易市场,违法工具、色情交易、毒品交易、枪械信息比比皆是,俨然一个网络犯罪分子聚集的“虎狼之穴”。我们使用Tor浏览器等可以轻松访问暗网中的浅层网,主要是黄赌毒和数据情报信息,如丝绸之路等。
对于企业而言,往往不免被黑客攻击而被获取大量的数据,而这些数据一般会优先在暗网售卖,如近年来的12306、各大互联网公司等的数据泄露事件。为了及时响应突发的数据泄露事件,企业需要一款实时监控暗网数据泄露的威胁情报平台,用来监控敏感数据泄露、薅羊毛、业务安全风险等事件。
二、代理服务器搭建
由于国内网络环境的原因,为了顺利访问暗网,我们需要一台海外服务器,系统版本是ubuntu 18.04(当然其他系统也可以,只是本文会把这个版本的系统作为例子),同时需要在这台服务器上安装Tor与Privoxy用作访问代理服务器。
本文的系统版本:
root@536ef99cab94:/# cat /etc/issue.net Ubuntu 18.04.2 LTS 2.1 整体架构
从图上可以看到,Privoxy作为一个中转代理,主要是把http协议转socks5协议,而Tor则负责把socks5转Tor协议。所以整个代理访问过程为:
1.用户输入后缀为onion的地址,由Privoxy暴露的8118端口访问http协议; 2.Privoxy把http协议转发给Tor,Tor获取该网站公钥进行加密,通过Tor通信链路发送信息给Tor节点,由该节点转发请求到.onion网站。 2.2 安装Tor
可能很多人一开始会直接执行这条命令:sudo apt-get install tor,从这个命令安装的Tor是v2版本的,不支持较新的加密算法,所以导致访问不到某些使用最新加密算法的暗网网址。
Tor v2到Tor v3的转变主要表现为如下几点:
1.签名算法从SHA1/DH/RSA1024升级到SHA3/ed25519/curve25519; 2.改进的Tor directory protocol,安全性更高; 3.更好的洋葱地址,换成sha3,可以提高枚举生成一样地址的难度; 4.可拓展的交换协议。 参考官网的安装方法,安装最新版(v3版本)的Tor步骤如下:
1.在/etc/apt/sources.list添加如下源:
deb https://deb.torproject.org/torproject.org bionic main deb-src https://deb.torproject.org/torproject.org bionic main 2.添加gpg密钥,执行如下命令:
curl https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --import gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add - 3.安装Tor:
apt update apt install tor deb.torproject.org-keyring 4.查看安装好Tor的版本,可知本文安装的Tor版本为0.3.5.8:
root@536ef99cab94:/# tor -v Jun 18 14:30:43.
shodan https://www.shodan.io/
zoomeye https://www.zoomeye.org/
censys https://censys.io/
pipl https://pipl.com/
reg007 https://www.reg007.com/
whois https://www.whois.com/
dogpile https://www.dogpile.com/
Yandex https://yandex.com/
启信宝 https://www.qixin.com/?from=baidusem24
天眼查 https://www.tianyancha.com/
爱查 http://www.2cha.com/
IMEIdb http://www.imeidb.com/
基站定位 http://www.cellid.cn/
银行卡号归属地 http://cha.yinhangkadata.com/
友商发票查询 http://fapiao.youshang.com/
内容目录
前述
为什么要用Tor设置SSH?
步骤1:安装Tor
步骤2:在服务器上创建洋葱服务
步骤3:验证洋葱服务是否正常(可选)
步骤4:使SSH服务保密
步骤5:使用Tor连接到SSH服务器
步骤6:确保Shodan无法看到SSH服务
结论
前述
下一个libSSH或OpenSSH漏洞利用可能就在眼前。在黑客找到绕过保护服务器的密码的新方法之前,请将您的SSH服务保留在Shodan的数据库之外。
Shodan被称为“ 黑客的搜索引擎 ”,因为它实际上是一个可搜索的互联网连接设备和服务器数据库。它允许任何人搜索网络摄像头,路由器,服务器,Raspberry Pis,交通信号灯,销售点系统,工业控制系统等等。
Web工具通过随机迭代现有的每个可能的IP地址(无论是在线还是未使用)并尝试在不同端口上提取服务标志来实现此目的。服务标志通常存储有关正在运行的服务的元数据,例如服务名称,类型和版本号。
为什么要用Tor设置SSH?
任何连接互联网的设备都将不可避免地被Shodan和其他数据库(如Censys)扫描。黑客使用这些数据库来定位过时的易受攻击的服务器。即使是经常更新服务器并遵循最佳安全实践的系统管理员也会受到攻击。libSSH认证绕过漏洞是一个很好的例子。
libSSH vuln允许黑客在没有首先执行身份验证的情况下连接到SSH服务。最完整的最新服务仍然容易受到这种攻击,并使许多服务器和网站面临风险。更重要的是,完全更新的系统仍然暴露于尚未披露的漏洞。目前还不知道有多少未公开的OpenSSH漏洞存在。
Tor 洋葱服务可以帮助减少暴露。就像使用标准Web浏览器无法访问洋葱网站一样,SSH服务只能配置为允许通过Tor访问。它可以使搜索引擎完全无法访问,像Shodan一样,并且黑客更难以找到。
步骤1:安装Tor
我们需要做的第一件事是在虚拟专用服务器(VPS)和客户端计算机上安装Tor。客户端可以是Debian,Ubuntu或Kali系统。MacOS和Windows 10用户可以查看官方Tor Project文档,以便正确安装tor。对于大多数读者来说,SSH服务器很可能是Debian VPS。但是,这可以在Ubuntu桌面或Raspberry Pi上进行设置,适用于那些希望远程访问家中计算机的用户。
Tor在许多Linux存储库中都可用。在大多数情况下,无法可靠地维护或更新软件包,这意味着可能缺少关键稳定性和安全性更新。此外,匿名软件应始终直接从源(即torproject.org)获取。
登录到您的SSH服务器并使用以下echo命令将Tor Project的存储库添加到您的APT存储库列表,该命令在Debian中有效。
~$ echo -e "deb https://deb.torproject.org/torproject.org $(lsb_release -sc) main \ndeb-src https://deb.torproject.org/torproject.org $(lsb_release -sc) main" > /etc/apt/sources.list.d/tor.list 更多阅读,参阅国外课栈新址https://via-dean.com
目录
网络安全的基本概念
APT
暗网
网络安全威胁
网络监听
口令破解
拒绝服务攻击
漏洞攻击
僵尸网络
网络钓鱼
网络欺骗
网站安全威胁
社会工程
部分协议的安全漏洞
网络安全的基本概念 APT APT( AdvancedPersistentThreat 高级持续性威胁〉
一般APT 攻击过程可概括为3 个阶段:攻击前准备阶段、攻击入侵阶段和持续攻击阶段,又可细分为5 个步骤:情报收集、防线突破、通道建立、横向渗透、信息收集及外传
暗网 暗网(深网,不可见网,隐藏网)是指那些存储在网络数据库里、不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可以被标准搜索引擎索引的表面网络。
网络安全威胁 网络监听 网络监昕的目的是截获递信的内容,监昕的手段是对协议进行分析。
一台连接在以太网内的计算机为了能跟其他主机进行通信,需要有网卡支持。网卡有几种接收数据帧的状态,如unicast , broadcast, multicast, promiscuous 等,Promiscuous 即混杂模式,是指对报文中的硬件地址不加任何检查,全部接收的工作模式
Sniffer (嗅探器)分析网络的流量,以便找出所关心的网络中潜在的问题。
交换机能根据数据帧中的目的MAC 地址将数据帧准确地送到目的主机的端口,而不是所有的端口。所以交换式网络环境在一定程度上能抵御Sniffer 攻击。但是在交换式网络上同样会有Sniffer 的攻击。在交换环境中, Sniffer 的简单的做法就是
伪装成为网关。因为网关是一个网络互联设备,所有发往其他网络上的数据报文都必须由网关来转发出去。
在无线局域网WLAN 中网络嗅探对信息安全的威胁来自其被动性和非干扰性,运行监听程序的主机在窃听的过程中只是被动的接收网络中传输的信息,它不会主动跟其他的主机交换信息,也不修改在网络中传输的信息包,使得网络嗅探具有很强的隐蔽
性,往往让网络信息地密变得不容易被发现。
口令破解 字典文件就是根据南户的各种信息建立一个用户可能使用的口令的列表文件。
口令攻击类型:字典攻击、强行攻击(暴力?)、词典攻击、口令破解器
拒绝服务攻击 拒绝服务攻击DoS (DenialofService) 是阻止或拒绝合法使用者存取网络服务器〈一般为Web 、FTP 或邮件服务器)的一种破坏性攻击方式。
外部用户发动拒绝服务攻击主要有以下几种模式:消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误便服务失效
服务端口攻击是向开放的服务端口发送大量的数据包,从而耗尽目标主机的资源,使该服务器不能接受合法用户的正常访问。
服务端口攻击方式:同步包凤暴( SYNFlooding)、Smurf 攻击结合使用了IP 欺骗和ICMP 回复方法使大量网络数据充斥目标系统、利用TCP/IP 协议实现中的处理程序错误实施拒绝服务攻击
电子邮件轰炸,过多的邮件会加酣网络连接负担、消耗大量的存储空间。
低速率拒绝服务攻击(Low-rateDoS) LDoS,,通过周期性地在一个特定的短暂时间间隔内突发性地发送大量攻击数据包,从而降低被攻击端服务性能。
漏洞攻击 exploit漏洞利用
大家好,我是凌云
十多天前,我接到一条线索,原本以为是一件很普通的事,当我追查的时候发现和暗网有牵连,自己不但暴露了还被对方反查到真实身份。
这件事得从今年的2月10日说起,那天我和平常一样登公众号后台看私信内容。
有个叫李琴的姑娘连续几天都在给我发信息——在网上谈了一男朋友,聊了一个多月他来见她,发现不是同一个人,还差点被下药。
我跟李琴说修图太过分也很正常啊,怎么不是一个人了?
她说不是,刚见面的时候他说话带着一股小沈阳的味道,在网上他给我发语音普通话很正,没带口音的。
我当时就留了个心眼,以前他跟我说过对西瓜过敏的,我那天故意给他点了杯西瓜汁,他喝了啥事都没有。
然后他就跟我说让我去酒店陪他放行李,当时我就不敢跟他去了,我跟他说我去个厕所先,然后给我闺蜜发了条信息告诉她现在的情况,在回来的时候我看到他拿着一瓶东西倒我杯子里。
幸好当时我闺蜜打电话问我啥情况,我就借着这个机会说我还有个朋友要来,我出去门口接她一下,就偷偷跑了。
我琢磨了一会之后,给李琴留了个微信,让她微信上详细聊。
很快她加上了我,我问了李琴一些能证明身份的话,以及让她整理一份事件经过、把对方的所有信息发到我邮箱上
那天晚上,李琴和我说:“他向我坦白了,说把我的信息卖给了另一个男的。”
听到这,心里一阵无语,这种东西也能卖的吗?
我的打算是从卖李琴信息的人开始调查,如果有机会的话还要揪出跟她见面的人。
只要对方有把柄落我手上,自然就能问到我需要的信息。
而李琴网恋对象的信息,我觉得参杂了很多水分,毕竟刚开始就没打算跟她在一起的,自然给的是假信息,所以我现在要核验哪些信息是真的,哪些是假的。
0x0x 核验信息 我托在通讯公司上班的朋友查他给李琴的手机号,但我朋友说:“这个手机机主姓名叫陈杰”
而跟李琴网恋的人叫黄文民,根本不符合,所以他给李琴的姓名是假的。
后来当我尝试追查微信的时候发现,该微信是从16年就已经注册了
从一些蜘丝马迹来看,这个号码原来主人应该是中年人使用的
不然历史头像不会用一盆花作为头像,所以能推断微信号是从号贩子那买来的。
但很奇怪的是——我追查他留给李琴的QQ号的时候,发现这是一个常用号码,QQ等级和使用时间都是很正常的,并不像他买的微信号那样透露着不对劲。
难道他会给李琴自己私人的QQ吗?立马去问她这QQ号码是怎么来的
李琴说是在快见面之前的时候,当时让他陪我打王者,因为我玩的是QQ区的,他玩的是微信区的,不同区的没法一起玩,得加QQ好友才行,然后他一直让我等等,我生气之后他马上给了我一个QQ。
王者荣耀一共有两大分区,分别是QQ和微信,而它们是不互通的。
我问李琴:“那他的王者是小号吗”
不是,他QQ区都打上钻石了
琢磨了一会之后得出一个大胆的猜测——当时李琴催的急,没时间买新的QQ或者是新号打王者会有新手指引,我就特烦这个指引,站在我的角度去思考,我认为,这个QQ就是他的私人号码
大胆猜测,小心求证,我去QQ安全中心选择忘记密码,通过密保手机验证看到的这个QQ绑定的手机号是152开头的,而他给李琴的手机号是130开头的,这个QQ还真有可能就是他的私人号码
综合以上的简单分析,我决定把调查方向转到他QQ上
0x02猜解手机号 用这个QQ号的邮箱去查了下注册了哪些帐号,我想尝试去猜解出绑定的手机号剩下的数字
搜索支付宝帐号,有个实名信息叫刘*俊的帐号,很幸运的是这个帐号绑定了手机,在忘记密码的时候选择手机号和银行卡验证拿到了最后两位数的号码。
想猜解手机号,必须要了解手机号的格式(前三位+四位归属地+随机位)
我现在还不知道他到底是哪个地区的,他跟李琴说是湖北人,我肯定是不信的,还得自己查。
检索他这个QQ号在网上遗留的痕迹时,我发现了他的贴吧帐号,没发过帖子,头像也是默认的,但在他关注里看到关注了亳州这个贴吧。
经验告诉我,他百分之九十五是安徽毫州人,那么现在能确认地区了,剩下就要猜解出剩下的五位手机号了。
手机号的结构是前三位+四位归属地+随机位,我在网上找了一个全国号码生成器查找安徽移动所有的开头为152的号码,一共有400个
然后把数据导入到通讯录里一个个筛选QQ的通讯录好友,和头像符合的QQ。
花了挺长一段时间,终于找到了和他QQ头像昵称符合的了。
第一轮调查后我知道了他的手机号,姓名和地区,再次整理并且筛选假信息,得到下图。
目前知道了他叫刘X俊,152的手机号和35开头的QQ都是他的私人号码。
0x03钓鱼攻击 琢磨了一会之后,着手搭建了一个钓鱼网站,我的计划是利用钓鱼网站去尝试拿到他的QQ号,希望能在他QQ里捕捉到买家的一些线索。
钓鱼网站搭建完之后去某个短信验证平台上给他手机发了一条106开头的短信,说他的QQ被人多次申诉,现在已经限制部分功能,要想解除得登录下面的链接。
点开短信的链接会跳转到我搭建的虚假页面中,提示他要登录QQ才可以操作。当他输入QQ帐号和密码之后会提示密码错误,其实这个设置还真有点贱,哈哈哈。
很快在钓鱼网站后台里看到了他的QQ帐号和密码
但是在登录他QQ的时候发现有设备锁,用以前的漏洞无法绕过,这时陷入了困境,点了一根烟开始思考该用哪个方法去绕过设备锁。
0x04入侵邮箱 很明显我当时钻了牛角尖,一拍大腿,我可以登录QQ邮箱啊,为了避免再出现异地登录的情况,这次我用代理了安徽的IP,这次很顺畅进去了他的邮箱。
我在他邮箱里看到最近三个月频繁给一个名:kon***@sina.com的新浪邮箱发邮件,而每封邮件里都有一个附件,打开附件的Word文档全是某个女生的个人信息,包括照片,姓名,身份,毕业学校,兴趣爱好,父母家人等非常详细的信息。
我还翻到了他出售李琴个人信息的邮件,标题非常龌蹉!
随后我尝试撞库攻击他的其他社交帐号,再次追查他手机号绑定了哪些社交帐号
我查到他在18年注册了OPPO的帐号,用刚刚钓鱼来的QQ密码试着登陆一下,还真是同一个密码!
突然想起OPPO手机有个查找手机功能,这是手机丢失后提供给用户找回手机功能的。
而我利用这个功能知道了他家的大概区域
安徽毫州拓佳欢乐广场附近
我并没有停止撞库攻击,尝试登陆他的12306帐号,嚯!没想到这厮连那么重要的网站都用同一个密码,赶紧点开个人信息查看。
那么目前已经知道他的真实身份,跟李琴网恋并且倒卖她信息的人叫刘*俊,26岁,住在安徽亳州某个广场附近,年龄在23岁
现在买家的线索也浮出了水面,我打算顺着刘X俊这条线索调查跟李琴见面的人是谁。
0x05 买家浮出水面 我保留了他贩卖信息的证据后,选择跟他聊一聊,换了张不记名的电话卡之后,给他打了个电话,但一直不肯接,要么就是直接挂断了,打了五六个我给他编辑了条短信。
我跟他说已经掌握了他犯罪的证据,问几个问题,老实说我就放过你,不然就送你进去。
我问他这些信息都是从哪来的那么详细,他说:“都是跟她们网恋慢慢钓出来的”。
我顺着问:“你把这些信息卖给了谁,你跟他从哪里认识的?“
暗网的一个论坛上,他当时发了一个帖子,收网恋对象的信息。
一、介绍 项目中使用了微信定位,由于使用了百度地图JavaScript API来把微信坐标转换成百度坐标,在使用百度坐标转换成百度中文地址,遇到一些郁闷的坑,在这里面介绍一下。
二、说明 百度API官网地址:http://lbsyun.baidu.com/index.php?title=jspopular
js中把微信坐标转换成百度坐标
var longitude = 116.40718; // 微信经度 var latitude = 39.978207; // 微信纬度 console.log("微信经度:"+longitude); console.log("微信纬度:"+latitude); // 转换成百度地图坐标和地址 var lng = ''; //百度经度 var lat = ''; //百度纬度 var address = ''; //百度地址 var convertor = new BMap.Convertor(); var ggPoint = new BMap.Point(longitude, latitude); var pointArr = []; pointArr.push(ggPoint); convertor.translate(pointArr, 1, 5, function (data){ if(data.status === 0) { lng = data.points[0].lng; lat = data.points[0].lat; console.log("调取转换坐标后:百度经度:"+lng); console.
WFS一直朝着自己的目标不断前进,已经是一个成熟的软件了(前情回顾:WFS支持暗网取证),这次它又带来哪些惊喜升级,快来看看:
新增功能
1.内置浏览器资源下载功能
支持对浏览器中的视频、图片、音频、文档及其他类型文件进行下载。(仅支持有下载链接的)
2.视频嗅探功能
支持对YouTube,Facebook、twitter、百度贴吧及更多网站嗅探出的视频进行下载。
3.客户端取证日志记录功能
支持对取证过程进行记录,实时查看取证状态。
4.取证图片批量导出功能
支持图片批量导出,同时可以对导出的图片进行重命名。
新增取证模板
5.iCloud云盘取证模板
支持对邮件、通讯录、照片、iCloud云盘、备忘录进行网页固定取证。
6.Discuz论坛取证模板
支持对论坛主页、我的好友、我的帖子、我的评论、我收藏的帖子进行网页固定取证。
7.PHPBB论坛取证模板
支持对论坛主页、我的好友、我的帖子、我的评论、我收藏的帖子进行网页固定取证。
8.QQ空间取证模板
支持对个人信息、用户说说、用户日志、用户相册、留言板进行网页固定取证。
9.QQ邮箱、163邮箱原始邮件下载功能
QQ邮箱、163邮箱取证模板中新增对收信箱、发件箱、已发送、草稿箱中的原始邮件进行批量下载。
程序优化
10.程序优化
◆优化客户端界面卡顿问题;
◆优化笔记本电脑卡顿问题;
◆针对不同配置的电脑做差异化优化,解决因资源消耗过高引起取证卡顿问题;
◆修复了旧版其他Bug。