HanDs
管理员

我是如何在检测某网站时偶然获得WE战队经理KING(裴乐)的个人手机号以及证件号 



这次得到这些信息是在测试某网站的情况下偶然获得的

PS: 本文章想说明的是大家在注册网站的时候不要用统一的密码 危险很大

最近在斗鱼看直播 看到小智、强哥等很多游戏主播用的都是“牛埔”这个网站来开网店的,

我记得以前小智的都是淘宝店,最近都换成这个“牛埔”了,应该有合作关系吧。

然后我点开牛铺这个网站想看看这个站是什么样的 测试下有没有什么漏洞

比如:

1.任意密码找回漏洞 (找回利用的是邮箱 但我找回密码的时候邮箱收不到邮件,注册账号的时候也没邮件提示,应该是程序有问题)

2.XSS跨站漏洞 (XSS刚开始学,就简单的测试了下 过滤了HTML标签 长度也有限制 没有突破成功)

3.支付漏洞 (利用burpsuite截取数据包修改一些参数,测试了几回没发现什么可以利用的 没检测都有支付漏洞 但爆出了网站路径)

a1.jpg

几种电子商务网站常见的漏洞类型没找到 于是社工下看看有没有什么收获 首先收集网站所有者的相关信息。

最后测试的时候 发现了几个管理的账号 但密码没有搞下。 从这几个账号下一步一步偶然发现了一些其它信息。

首先站长之家查询了niupu.com这个域名的whoise 就是域名的所有者信息

1.jpg
2.jpg

可以看到 联系人:zaxchou 注册邮箱:[email protected]

我去验证下这个网站 是否有zaxchou这个用户名(一般管理员都习惯一个用户名用在多个网站)

3.jpg

4.jpg

可以看到这个账户是存在的 ,这里邮箱隐藏了. 但没关系这个网站开发有些小问题直接可以审查元素查看隐藏的内容,

另外还有个手机验证,这个也把管理的手机号得到了

5.jpg

6.jpg

然后我用一些常用的密码习惯组合登陆 没有成功!

接着想了想看管理员有没有用zaxchou这个账号在其它网站上注册过 看看他一般喜欢用什么密码

现在是大数据时代 密码被泄露是很正常的 我就找了一个社工库查了查

为了他人账号安全考虑 我把部分打码了

7.jpg

3条密码中解密 有2条密码是19***** (前2条记录是MD5加密:1条解不出来 一条和最后一个一样)

然后我尝试用19*****这个密码去登录niupu 没有成功 拿这个密码多次和之前的手机号组合也没成功 !

最终没有找到利用点对于这个网站。

但我想了想基本上每个人都会注册12306这个网站 我用 zaxchou 19***** 去登陆12306 结果人品爆发 居然登陆成功了!

8.jpg

9.jpg

身份证为敏感信息我就打码了! 这时我点了下常用联系人,重点来了!

10.jpg

当我看到“裴乐”这个名字的时候感觉有点熟悉. 一想,是WE的战队经理King 难道和牛铺的管理也认识?

为了证明是否为此人 我去百度了下KING的资料

11.jpg

12.jpg

生日为1980-7-7 再看身份证的生日. 不会那么巧吧

我查了下身份证信息和他百度百科的个人资料

13.jpg

14.jpg

身份证信息对比了下百度百科都为陕西西安!

我又查了下手机号 发现在手机归属地为上海 这就对了 玩LOL都知道战队基地都在上海 人也在上海的

15.jpg

根据这些信息应该确定是KING本人了!

好了,到此为止! 所有敏感信息均以打码!

虽然网站检测失败 但获得了一些其它信息, 想说明的是以后大家在注册网站的时候不要用统一的密码 这样是很危险的!


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
#1楼
发帖时间:2016-7-23   |   查看数:0   |   回复数:0
游客组
快速回复