压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　又見(jiàn)“黑客邂逅愛(ài)情”，小編想說(shuō)“喜歡就去追！”，大大方方，正義凜然，是的，如遇愛(ài)情，你看著辦吧…
　　昨天刷微信朋友圈，看到了@binarytree 發(fā)的這么一條說(shuō)說(shuō)。
　　當(dāng)時(shí)我就不樂(lè)意了，程序員有這么弱嗎？
　　直接進(jìn)入正題，下面請(qǐng)看黑吧安全網(wǎng)給大家?guī)?lái)的一個(gè)社會(huì)工程學(xué)案例。看看程序員黑客看到美女之后究竟會(huì)發(fā)生什么。
　　小熊是一名軟件工程學(xué)院的學(xué)生，初高中時(shí)學(xué)過(guò)一點(diǎn)黑闊技術(shù)，什么注入跨站知一二，拿webshell提權(quán)也略懂，免殺社工也略有接觸。只可惜上了大學(xué)之后轉(zhuǎn)了開(kāi)發(fā)，沒(méi)再做安全。
　　今天他在食堂吃飯，看到一位美女。她的音容笑貌，婀娜多姿的身材，性感的黑絲讓小熊的內(nèi)心泛起了一絲漣漪。他想跟她搭訕，可他是一名程序猿，按照設(shè)定程序猿是不會(huì)跟美女搭訕的。那他應(yīng)該如何是好呢？他要如何才能做到在不點(diǎn)出搭訕技能的情況下，成功獲得美女的聯(lián)系方式？
　　一道閃電穿過(guò)他的腦袋：對(duì)啊，我會(huì)一點(diǎn)社會(huì)工程學(xué)！
　　FreeBuf小科普：
　　社會(huì)工程學(xué)陷阱就是通常以交談、欺騙、假冒或口語(yǔ)等方式，從合法用戶中套取用戶系統(tǒng)的秘密。
　　社會(huì)工程學(xué)是一種與普通的欺騙和詐騙不同層次的手法。
　　因?yàn)樯鐣?huì)工程學(xué)需要搜集大量的信息針對(duì)對(duì)方的實(shí)際情況，進(jìn)行心理戰(zhàn)術(shù)的一種手法。0X02 獲得學(xué)號(hào)
　　小熊立刻回到待機(jī)多月的電腦前，開(kāi)始整理思路。他初中的時(shí)候聽(tīng)過(guò)黑闊前輩說(shuō)過(guò)一句話：“入侵的過(guò)程中，思路比技術(shù)更重要”。
　　小熊想到，他可以先發(fā)揮技術(shù)優(yōu)勢(shì)，從學(xué)校的數(shù)據(jù)庫(kù)中入手。于是他開(kāi)始了對(duì)校園教務(wù)系統(tǒng)的入侵。
　　許久沒(méi)有溫習(xí)安全知識(shí)，果然都生疏了，小熊忙活了半天，沒(méi)有拿到學(xué)校教務(wù)系統(tǒng)的權(quán)限。但是他卻找到了一個(gè)十分有用的bug（并且這個(gè)bug似乎在所有的xx教務(wù)系統(tǒng)中都存在）：在未認(rèn)證登錄的情況下通過(guò)學(xué)號(hào)獲得學(xué)生證件照。如下圖所示：
　　看文件頭可知這是一個(gè)jpg文件（還經(jīng)過(guò)了meitu.com的處理？），我們直接保存這個(gè)網(wǎng)頁(yè)，將后綴改為jpg，就能看到照片了。
　　小熊對(duì)美女的長(zhǎng)相過(guò)目不忘，現(xiàn)在他需要做的就是通過(guò)這個(gè)漏洞來(lái)確定美女的學(xué)號(hào)。
　　因?yàn)樾⌒苤溃@個(gè)美女不是本科生，因?yàn)樗麖臎](méi)在相關(guān)的課程上看到她，而且她也不是與他同一年級(jí)的，因?yàn)樗挥性诮衲瓴乓?jiàn)過(guò)她。所以小熊現(xiàn)在需要找到13級(jí)專升本學(xué)生的學(xué)號(hào)模式。這個(gè)不難，隨便問(wèn)一個(gè)人就可以了。得到13級(jí)專升本學(xué)生的學(xué)號(hào)模式為13105[班級(jí)][序號(hào)]，比如1班的第一位同學(xué)為13105101。
　　現(xiàn)在只剩遍歷所有的照片，然后認(rèn)出女神了。由于每個(gè)班的學(xué)生排布情況都是女生學(xué)號(hào)靠前，男生學(xué)號(hào)靠后。所以只要在遍歷時(shí)發(fā)現(xiàn)某個(gè)班出現(xiàn)一位男生，就可以skip到下一個(gè)班了。
　　因?yàn)檐浖こ虒W(xué)院的專升本一共只有3個(gè)班，所以遍歷量不是很大，為此，小熊隨手寫了一個(gè)bash腳本：
　　#！bin/bashfor stuNumber in $(seq 13105101 13105130)；do    wget "http：//www.myhack58.com/readimagexs.aspx？xh=${stuNumber}&lb=xxxxx" -O ~/studentImages/$stuNumber.jpgdone
　　每個(gè)班最多30人，就算超過(guò)30人，30這個(gè)數(shù)字也能囊括這個(gè)班的所有女生。這樣，只要修改相應(yīng)的學(xué)號(hào)范圍，運(yùn)行這個(gè)腳本，即能遍歷下載相應(yīng)的學(xué)生證件照。
　　很快，小熊就發(fā)現(xiàn)了今天在食堂碰見(jiàn)的美女，她的學(xué)號(hào)是13105301。
　　手機(jī)號(hào)碼及其他信息
　　獲得了學(xué)號(hào)，還算是有點(diǎn)進(jìn)展吧，小熊心里這樣想著。但是只是獲得學(xué)號(hào)是遠(yuǎn)遠(yuǎn)不夠的，他明白他必須利用這個(gè)信息來(lái)獲得更多的信息。
　　為此，他想了一個(gè)辦法：欺騙輔導(dǎo)員，說(shuō)撿到了這個(gè)學(xué)號(hào)的同學(xué)的飯卡，希望能讓輔導(dǎo)員幫他查一下這位同學(xué)的號(hào)碼，以便小熊聯(lián)系失主。
　　事不宜遲，Let's do it：
　　在聊天的過(guò)程中小熊裝作不知道她是女的，但其實(shí)這樣是不對(duì)的，因?yàn)轱埧ㄉ嫌∮姓掌兔帧?br /> 　　雖然出師不利，但至少小熊獲得了美女的姓名，叫做鮑xx。小熊當(dāng)然會(huì)繼續(xù)去找另外一位輔導(dǎo)員，不過(guò)在這之前，小熊想用名字來(lái)擴(kuò)大戰(zhàn)果。他立刻登錄了社交網(wǎng)站xx網(wǎng)搜索美女的名字。非常幸運(yùn)，這個(gè)名字很少見(jiàn)，一眼就看見(jiàn)了這位美女：
　　來(lái)看看她的xx網(wǎng)隱私權(quán)限設(shè)置得如何。點(diǎn)進(jìn)她的主頁(yè)，發(fā)現(xiàn)可以瀏覽幾乎任何信息，我們通過(guò)xx網(wǎng)，獲得了以下信息：
　　生日：199x年x月x日家鄉(xiāng)：xx省xx市高中：xx中學(xué)
　　當(dāng)然，還有幾張照片，和一些她發(fā)布的歷史說(shuō)說(shuō)。這些說(shuō)說(shuō)對(duì)小熊理解她的人格和經(jīng)歷會(huì)有很大作用。
　　接著，繼續(xù)上一條線索，通過(guò)另外一名輔導(dǎo)員，小熊如愿獲得了美女的電話號(hào)碼。但是小熊的信息搜索工作并沒(méi)有就此結(jié)束，他把美女的名字以及相關(guān)信息，放在google里搜索了一番。得到了更為有趣的東西：她專科學(xué)校保存的某次考試的報(bào)名總表，大學(xué)入學(xué)時(shí)的體檢表：
　　竟然還有身份證號(hào)！那再把身份證號(hào)放到google里搜索一下呢？又得到了一份之前沒(méi)有得到的表格，這張表格里還包含一個(gè)之前他沒(méi)有獲得的手機(jī)號(hào)，用ip138.com查一下地址，應(yīng)該是美女在老家用的手機(jī)號(hào)吧。
　　至此，小熊已經(jīng)獲得了這位美女的姓名、學(xué)號(hào)、生日、身份證號(hào)、家鄉(xiāng)、高中、兩個(gè)手機(jī)號(hào)、身高體重肺活量
　　小熊接下來(lái)該做些什么呢？繼續(xù)利用這些信息，生成“字典”，來(lái)猜解美女的各個(gè)社交網(wǎng)絡(luò)賬號(hào)密碼，窺探美女的小秘密？再或者通過(guò)之前拿到的資料尋找搭訕機(jī)會(huì)？
　　小熊楞了一下，想起來(lái)還有很多代碼要寫，于是就去繼續(xù)寫代碼了……
　　再次申明：本文純屬虛構(gòu)，如有雷同，純屬巧合。