Jump to content
  • Hello visitors, welcome to the Hacker World Forum!

    Red Team 1949  (formerly CHT Attack and Defense Team) In this rapidly changing Internet era, we maintain our original intention and create the best community to jointly exchange network technologies. You can obtain hacker attack and defense skills and knowledge in the forum, or you can join our Telegram communication group to discuss and communicate in real time. All kinds of advertisements are prohibited in the forum. Please register as a registered user to check our usage and privacy policy. Thank you for your cooperation.

    TheHackerWorld Official

《你安全吗》涉及到的技术解读

 Share


Recommended Posts

本文仅对影视剧中涉及的技术进行分析,对剧情不做详细的说明。感兴趣的童鞋可以去看看。

PS: 技术分析按照剧情顺序进行(1~4)集

电视开头,便给我展示了第一种攻击技术,恶意充电宝。看似利用充电宝给手机充电,但是在充电的过程中,便已经获取了用户的信息。
http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/1_20220915125414.png

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/2_20220915125944.png

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/3_20220915130038.png

实现原理

这种方法,在我前面的文章中有所涉及《利用树莓派监控女盆友手机》,其实很简单,就是利用adb命令获取手机的信息,当然也可以利用adb命令安装shell。

实现难度

容易,只需要开启手机开发者先选即可。
但是在现实中,手机开发者选项是默认关闭的。像电视中的情形是不会实现的。

信息收集

基于朋友圈收集信息

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/4_20220915130543.png
通过对朋友圈非朋友可见十条 查看最近朋友圈的动态,获取对方的相关的信息。再加上推测,得知女主老公出轨的可能性。

表哥建议

非工作需要,还是尽量在微信中,将此功能关闭吧。

基于微信步数的信息收集

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/5_20220915131352.png
通过微信步数,可以获取当前在干嘛?如早上八点你刚睡醒,好友的步数已达到5000步,说明他很有可能在跑步锻炼身体。

基于钓鱼链接的信息收集

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/6_20220915131541.png
在表哥前面的文章中,也写过类似的文章。通过探针可以简单的获取目标的IP地址,GPS信息,以及照片,录音等等。但是随着手机安全性能的提高,都会有弹窗提示。

利用百度网盘备份数据

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/7_20220915131932.png
这个在生活中,常常遇到。而且在安装百度网盘后,备份通讯录等信息是默认开启的。可以一试!(最好将头像也换掉,这样才真实)

利用滴滴分享行程

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/8_20220915132245.png
通过以上方案,主人公成功得到了对方的手机号码,并通过微信查找到了相关的账号。

当然网安专家的电脑中毒了。
http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/11_20220915132907.png

对驱动盘符的破解

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/14_20220915134645.png
这里当然是导演给了密码,要是现实中,复杂的密码程度,估计等这剧结束了,都没破解成功。

控制网吧网络

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/15_20220915140409.png
这个应该用的是,运维app或者小程序,进行管理。难度不大。

社会工程学应用

通过在捡垃圾,获取对方有用的信息。所以在日常生活中,快递、外卖等单子如果不处理,都会造成一定的信息泄露。

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/16_20220915141013.png

通过对方一个账号信息,枚举其他账号信息,如贴吧 微博 QQ空间,从而获取对方相关个人信息。

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/17_20220915141642.png

WiFi探针

早在之前,央视315就曝光了WiFi探针窃取用户信息的案例。原理是当用户手机无线局域网处于打开状态时,会向周围发出寻找无线网络的信号。一旦探针盒子发现这个信号后,就能迅速识别出用户手机的MAC地址,转换成IMEI号,再转换成手机号码。
因此,一些公司将这种小盒子放在商场、超市、便利店、写字楼等地,在用户毫不知情的情况下,搜集个人信息,甚至包括婚姻、教育程度、收入等大数据个人信息。

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/18_20220915150519.png

android shell

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/21_20220915151414.png
从视频可以看出,很基础的msf控制android命令。但是能直接操纵手机编辑,这个就有点夸张了。

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/22_20220915151649.png

wifi钓鱼

利用fluxion进行WiFi钓鱼。

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/23_20220915154038.png

PS (4-8)集,仅对影视剧中的技术进行分析,剧情、人物不加以说明。

接着来看,为了获取诈骗集团的数据,溜到机房下载服务器数据。
http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/1_20220916135536.gif
这里用到的软件应该用的是XFTP。这也算是物理攻击了吧!

物理攻击

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/R-C_20220916160749.jpg
所谓物理攻击,便是攻击者无法在软件层面或者系统方面找到相关的漏洞。一时无法拿下目标,会到实地考察,通过社会工程学等方法,偷偷潜入目标内部进行攻击。这种攻击,最为致命。
http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/2_20220916141442.gif

在网安大赛中,用到的工具。在前面的镜头中,应该是利用owasp扫描目标网站的漏洞。说实在的,页面一直没有动,不知道扫了个啥!
http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/111_20220916142109.png

在攻入了二级防护后,第三局开始,应该还是msf的界面。设置的msf的配置参数,但一直没有exploit不知道在等什么。

http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/123_20220916142440.png
倒计时三分钟的时候,应该是开始了sqlmap注入。
http://xiaoyaozi666.oss-cn-beijing.aliyuncs.com/145_20220916142633.png
从视频可以看出,用到的命令为

sqlmap -r 1.txt --batch --level 5 -v current-user

sqlmap的使用,在之前的文章中提到的比较多。上面这条命令应该是通过post注入,获取当前系统的用户。

参数解读:

-r 1.txt txt中存放的便是目标的请求数据,一般用burp抓包,保存为txt即可。

-- batch 执行过程中不需要用户输入YES or NO,将会使用sqlmap提示的默认值YES一直运行下去。

--level 风险级别,默认为1,当level为5时会测试很多的payload,效率会降低。

–current-user 获取当前用户名。

总结

电视剧中涉及到的网络安全工具,都是我们平时常见的网络安全知识。影视剧中稍有扩大,但是从剧情方面来看,还是非常棒的,尤其在给大众普及网络安全知识的同时,将网络水军、网络诈骗、杀猪盘、网贷等和百姓有关的话题紧密联系在一起。在视频末尾都会对大家普及一些网络安全知识,值得推荐!


版权属于:逍遥子大表哥

本文链接:https://blog.bbskali.cn/3666.html

按照知识共享署名-非商业性使用 4.0 国际协议进行许可,转载引用文章应遵循相同协议。

Link to post
Link to comment
Share on other sites

 Share

discussion group

discussion group

    You don't have permission to chat.
    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...