最近做项目的时候,遇到一个区块链交易所,从渗透这块走估计挺难,所以花了不少时间,打入敌人内部获取了不少信息,通过观察发现几个疑似管理员,在微信群里深入交流之后,获取了不少 *** 和 *** 账号。
给大家po一张手工写的一些重要信息,全部打码了,整整两张A4纸,请大家忽略我这一手的草书,谢谢!
这里重点讲如何突破的,在获取到信息之后,结合区块链网站信息,居然没有找到后台,在经过一段时间的排查,通过ICO图标找到了一个关联域名,很有意思的是,后台是个独立域名,和该区块链交易所的域名没有实质性的关联。
后台界面是这样的。
随便输入一个账户显示:
由此可以判断用户存在与否,后来试了各种用户名字典,都没有,在这里还有一点,爆破超过50次以后,所以发送的数据包都会失败,呜呜呜
于是猜测,管理员用户名应该是 *** 号码,经过后面测试, *** 邮箱也是用户名的登录范围。
对前面收集手机号, *** 邮箱等信息进行整理,顺带对 *** 号的关联手机号进行查询,最后获取到了一组,手机号+邮箱的组合。
尝试登录,用户名存在后会显示:
经过尝试, *** 邮箱与手机号都可以登录该后台,但是, *** 邮箱需要邮箱验证码,手机号码需要谷歌验证码,注意,在这里,我通过社工,在历史密码中尝试出了登录密码。
谷歌验证码,这种双因素认证我是没办法了,除非去把他手机偷过来,所以,只能通过 *** 邮箱验证码试试了,没办法,只能是智慧黑客,在线盗号了。
运气王就是这样,利用刚刚登陆后台的密码,在360极速浏览器尝试登录 *** 邮箱,显示 *** 环境存在风险?不是密码错误吗?感觉是对的。
然后想到一个问题,异地登录不行,最后通过在线沟通,利用火绒剑,在微信弹语音的方式,获取了该人的登录IP,查看位置,显示在深圳。
好家伙,这还能有假?直接上个深圳的 *** 。
设置 *** 之后发现还是一样的, *** 环境有问题,突然想到,可能是同浏览器的问题,于是呼,换了一个深圳的IP,换了一个谷歌浏览器登录邮箱,这次又不一样了。
手机号和 *** 都关联上了,但是,你TM这不是在为难我胖虎?要逼我过去深圳偷手机才行么?
当然了,办法还是要想的,期间尝试了登陆 *** ,但是需要手机扫描二维码,所以放弃,既然不行,那就在换个IP,在换个浏览器,直接拉入了EDGE浏览器。
瞧瞧这可爱的大宝贝,居然成功登录了。
最后顺手发送验证:
一:关于整体版面部份 ﹝一﹞关于标题的呈现方式 1. 标题宜以包括图像及文字的综合设计表现之。 2. 台湾地区使用者喜欢色彩较丰富的标题。 3. 标题宜居于版面中间位置,并以长方形...
号码定位手机位置(定位对方手机位置怎么弄)之前我们说到市面上出现一种“高科技设备”,可以采集到附近的手机号码,最后发现这设备其实一点也不“高科技”,就是一个Wi-Fi探针而已,真正神秘的地方在于其背后...
原本有很多新人准备在今年结婚,但由于疫情原因不得不被迫取消婚礼,所以一些新人决定在2021年举行婚礼,接踵而来的自然就是挑选黄道吉日了,结婚作为生命中的一桩头等大事,自然是要十分重视的,因此大家都十分...
王者荣耀s20赛季已经上线一段时间了,不少玩家开始期待新的赛季了,那么,王者荣耀s20赛季什么时候结束?全新的s21赛季什么时候上线呢?很多玩家都很好奇,其实,s21赛季就快上线啦,官方最近曝光了许多...
怎么查看鼠标当前dpi应用电脑鼠标生产商出示的驱动程序就可以查询电脑鼠标当今dpi。 电脑鼠标是1964年由Douglas Engelbart创造发明的,电子计算机的一种输出设备,也是电子计算机...
比亚迪企业文化(解读比亚迪建设之路)近年来,随着国内汽车消费市场的需求升级,"颜值"在消费者购车决策中所占比重越来越大。众多中国汽车品牌开始意识到设计对于品牌提升、市场扩张的重要性,一场"设计革命"正...