一个完整的木马程序(一个完整的木马程序由哪三部分组成?)
转自:雷锋网(ID:leiphone-sz)
作者:李勤
原题:如何用技术手段知道男/女朋友的社交账号密码?
地址:https://mp.weixin.qq.com/s?__biz=MTM2ODM0ODYyMQ==&mid=2651419561&idx=4&sn=40727039c392024b81a3f14686daa20c&chksm=624d730b553afa1d915ec3bba23608fca92bec856f6b54fa05b595a6c5c0111f0eb1276b269d&scene=0#rd
蕾蕾一直没有想明白,身高1米8,又帅又体贴的峰峰为什么看上了自己?要知道,峰峰的前女友可是身材高挑、肤白貌美的小美女。最近,蕾蕾从峰峰身后路过时,“一不小心”看到了峰峰在聊天,而“小美女”的头像一直在跳动。蕾蕾没有问峰峰,但如晴空霹雳,又百爪挠心,想知道男票究竟和前女友说了啥。
一不做、二不休,蕾蕾想,要不干脆找到男朋友的社交帐号密码,也好时时关注“敌情”。
怎样才能神不知鬼不觉地拿到男朋友的社交帐号密码?
第一招:社工
难度:※
你是他女朋友呀,各种旁敲侧击加正面打击地问呗,生日纪念日各种日子你也都知道的呀,这招应该还是挺靠谱的。
问什么样的问题男朋友会被套路?
例如:1.“最近听说某某网站放出一个密码设置最容易破解排行榜,办公室的小黄今天在那一验证,发现果然是这样,他的密码就是名字+生日,你说傻不傻?”然后观察男朋友的神情,是比较轻松愉快还是尴尬,甚至说:“惨了,我也是这样。”
2.时不时在谈话中“套路”一下,比如在聊人生时,让他聊聊记忆深刻的事情、最喜欢的宠物、最爱的人(十有八九会被反套路,此刻要问那第二爱的人之类)、游戏昵称帐号……
3.如果他给过你其他密码,可以研究一下密码的规律,套用在新密码上。
第二招:查库
难度:※
现在数据泄露不少,最好的情况是能直接查出密码;另外,不少人有使用通用密码的习惯,这样的话也相当于直接查出密码了;通过大量的数据,也有比较大的几率看出这个人的密码习惯,增加猜解密码的习惯。至于怎么查库,用搜索引擎搜索“社工库”就行了。
然而,这种集成的社工库“稂莠不齐”,像“700元买到同事全套信息”这种库还算“良心”,有些社工库会诱使你付费,你查询的信息也会进一步与已泄露信息绑定。当然,目的是查男朋友的账号和密码,几百块钱可能不算什么……
以前,很多漏洞提交平台会放出一些被泄密的数据库,比如已经惨烈不能打开的乌云网站,还有乌云的镜像网站,很多黑客直接把数据库下载下来自己查询。
此处,要敲小黑板的是,《中华人民共和国网络安全法》规定:
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
这样查库的妹子一不小心就要走上违法的道路,请三思而后行……
第三招:利用社交网站漏洞获取密码
难度:※※※※
比如,XSS 呀,注入呀,安全网站上这些案例很多,当然公开的漏洞都是已经修复的,不过你可以学到方法自己去研究哒。
这一招需要一定的编程基础,是的,现如今,不会写代码可能连密码都找不着。
XSS 又称 CSS,全称 Cross Site,跨站脚本攻击,是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有 XSS 漏洞的网站中输入 (传入) 恶意的 HTML 代码,当其它用户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面结构、重定向到其它网站等。
简单来说,就是你瞅准了一个社交网站,
通过各种扫描工具或者人工输入来找到它的 XSS 漏洞,然后精心构造攻击字符串;
把这个字符串作为漏洞网站文本编辑框的表单值输入提交,就会造成攻击。手工输入这个字符串,并提交,浏览器地址栏自动生成攻击URL;
做成诱人的链接,让男朋友点击。
然而,让男朋友点击后,其实你需要另外一台可以接收男朋友 cookie 的服务器,如果你在网上找到了这种服务器,没有写代码的基础,很难看出这个服务器的代码中是否有有害代码,这意味着,少女,你男朋友的密码同时可能会发到“有心人”的邮箱。
第四招:找到浏览器已保存密码
难度:※※
为了登陆方便,现在不少浏览器有保存登陆密码的功能哦,怎么查看?搜索“查看+浏览器名称+已保存密码”,然后根据网上的方法一步一步操作就行了。
前提是,男朋友设置了保存密码,而且,你需要在男朋友不在家时,在他的电脑上偷偷操作。但是,讲真,你有男朋友的开机密码吗?如果你都能用他的电脑,似乎去找他的密码就没什么必要了,除非你想长线操作,长期监督。
第五招:放一个键盘记录器
难度:※※※※※
实在不行写个键盘记录器放他电脑上运行呀,输入了什么全部发送到你邮箱。
万万没想到,放一个键盘记录器在男朋友电脑上,原来是最难的——如果你能打开他的电脑,直接安装除外。
不过,对于有编辑基础的妹子而言,可能在大学上计算机课程时,就专门学习过如何写一个键盘记录器。当然,如果你从网上下载也行,不过会不会被暗中种下木马,将记录下来的内容发送到“有心人”的邮箱一份?
键盘记录器写好后,可以做成链接的形式,诱使男朋友点击,接下来会发生的事情想必你都可以知道了。
第六招:钓鱼
难度:※※※
本来钓鱼也应该是属于社工的,但是上面讲的社工主要就是一些面对面的心理战术了。“上次一起出去玩的照片已经整理出来啦,“去看看吧。https://XXX.cn”这样的消息收到过没?点开链接发现是某空间要求输入账号和密码的地方,嗯,和正版一模一样哦,可是你看看链接啊,链接不对啊喂,这就是钓鱼咯。
首先,你需要做一个和正版一模一样的钓鱼网站,当然,这个社交网站可能在网上有源代码可以抄。然后,需要购买一套钓鱼工具。
这一招式比挖漏洞容易,但是也需要技术基础。
第七招:编写一个美美的木马程序发过去
难度:※※※
知乎上也曾有一个高票答案值得借鉴,编写一个玫瑰花的示爱程序,植入木马,直接发给男朋友即可。
上述技术支持均为京东安全工程师肉肉口述,雷锋网编辑采写。但是,仅为技术理论探讨,肉肉本人并不支持这些做法。为了保护另一半的权益,肉肉与雷锋网编辑建议如下:
1.不在浏览器保存常用密码;
2.不同网站设置不同密码,尤其密码设置不要按照常用套路走;
3.不随便点击链接,即使是对象发过来的,有技术基础的童鞋,可以技术反制,当然后果自行承担,比如,被骂、被分手……雷锋网概不负责。
当然,最美好的结局是,峰峰发现了蕾蕾的套路,心甘情愿地上当受骗,让蕾蕾知道了他的账号和密码,安心被监督,从此心照不宣地在与朋友的交流中不定期向蕾蕾表示忠诚与喜爱。
只要套路深,铁杵磨成针!诸君共勉之!
注:雷锋网再次强调,不鼓励任何违法和侵犯他人隐私的行为,仅理论探讨,希望小情侣们互相信任,渣男、渣女则好自为之,三观正正哒。另,蕾蕾和峰峰均为化名,如有巧合,可以关注雷锋(蕾蕾和峰峰)网。
推荐阅读:
1、2016最常用密码排行公布 这些密码竟有这么多人在使用!
https://mp.weixin.qq.com/s/0dlT5gbxTmT_ORrv23t6Sw
2、微信明明登在自己手机上,却提示异地登录?
https://mp.weixin.qq.com/s/lWuSKJS-fHXxGFXvnBxnjg
3、WhatsApp被爆后门将允许攻击者拦截并读取你的加密信息?
https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650440871&idx=1&sn=706a33698d991730d83c320ea60dda93&chksm=83bbe143b4cc68550fd92c32be01d1bae23590bd003b2885c23580989a9a0a6192c28bf6eca2&scene=0#rd