黑客讲述 | 我如何逼小偷把 iPhone 还回来

2016年10月10日 美国索拉家居物联网


国庆长假过去没多久,有个问题要问一问:假期有没有丢手机?以下是A、B、C、D四个故事,欢迎对号入座。


A:手机丢了,以为被扒,打手机显示关机,悲了个催的用“找回iPhone”功能,突然能找到了,一打电话,咦,开机了!对面一个温柔的男声:你好,我捡到你的手机了,但之前没电了,刚充上电开机,约个地方把手机给你吧……若干剧情后,你收获了手机和一枚男盆友。


B:手机丢了,以为被扒,打手机显示关机,悲了个催的用“找回iPhone”功能,然而找不到,真的被扒……iPhone7 朝你招手!


C:手机丢了,以为被扒,打手机显示关机,悲了个催的用“ 找回iPhone ”功能,然而找不到,真的被扒……呜呜,第二天收到“ Apple ”发来的验证短信,ID、密码被套取,iPhone7 朝你招手!


D:手机丢了,以为被扒,打手机显示关机,悲了个催的用“ 找回iPhone ”功能,然而找不到,真的被扒……呜呜,第二天收到“ Apple ”发来的验证短信,ID、密码被套取,然后,你的朋友是个大神,通过攻击短信里的钓鱼网站以及一系列复杂剧情,你找回了手机,这次没有理由买 iPhone7 了。


洗把脸醒醒,看看这个世界,A剧情就不要想了,人生最重要的是务实!大部分人遭遇的是B和C剧情,D剧情看上去真的像“故事”,但是,网络安全从业者 carry_your 真的是这么干的!



距离 carry_your 利用技术手段找回他朋友丢失的 iPhone 其实已经一个月了,但对雷锋网谈起这件事来,他还是眉飞色舞。来还原下详细剧情!


1.被骗刷机


9月12号晚上9点,carry_your 的小伙伴在某地铁拥挤的人群里被偷走了iPhone。当晚,carry_your面对一脸懊悔的朋友后,曾尝试使用“ 找回iPhone ”这个功能来找手机。


然而,骗子很机智,手段很纯熟。偷走手机后,首先关了机,然后拔出手机卡,又关掉了联网功能。于是,“ 找回iPhone ”功能失效了……没有被偷过 iPhone 的编辑小李天真的认为,电视剧里被绑架到山区几乎没网还能定位给警察情郎的情节几乎是真的……电视剧害死人。


事情来了个大转弯。第二天,carry_your 的朋友接到一个短信。



焦急的朋友没有多想,登陆了上述网址,输入了账户 ID 和密码。然后就杯具了……



到底有多少人是这么干的?此处,雷锋网编辑要敲小黑板!请注意!


丢手机的朋友如果接收到这条短信,第一,请看发送短信号码是否属实;第二,请看网址是否是钓鱼网址;第三,如果发送短信号码看上去像苹果客服,可能从伪基站发出,请再次核实网址。


手机那一头的骗子同伙从钓鱼网站得到 ID 和密码后迅速刷机,如果没有 carry_your 后来的技术反制,故事到这里应该就结束了,结局会是你的手机已经可以在市场流通,你有理由去买 iPhone7 了!

2.扒掉团伙的面纱以及……底裤


朋友后知后觉,但将此事告知了 carry_your 。


作为一个白帽子,赌上荣誉和尊严,都要抢回这部被偷走还被刷机的手机!不过,应该怎么做?怎样才能和这个团伙联系上?怎样才能让他们乖乖交回手机?


carry_your 看到了钓鱼网址,心生一计——挖漏洞,找到管理员账号、密码、后台地址,还要找到他的联系方式,这是第一步!


carry_your 理清思路后,在上午10点后迅速对该钓鱼网站发动攻击,他看了看略 Low 的网站,心想估计也没什么特别专业的技术人员在做技术支持,哼,骗子还是太年轻!于是果断选用了最常见的 XSS 攻击。



在钓鱼网站在输入密码以后,钓鱼网站让我输入密保信息,我在答案输入框中输入了 XSS 代码,然后就成功提交了。


以下是小白教学时间:


所谓 XSS,即跨站脚本攻击,攻击者向 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入Web 中的 Script 代码会被执行,从而达到恶意攻击用户的目的。


carry_your 指出,恶意 Script 代码网上都有,小白不要怕,也可以查到获取,从而进行 XSS 攻击,是为了拿到后台地址。


在等待收到 XSS 的过程中,carry_your 觉得不能把鸡蛋放在一个篮子里,要再找找他其他漏洞。大写的机智!


carry_your 运用了一个扫描和监控网站的小工具,发现了钓鱼网站的一处逻辑漏洞,通过会话劫持,carry_your 拿到了一个返回包,其中包含了 smtp (简单邮件传输协议)登陆过程、管理员账号密码,且密码为base64编码。


科普一下,Base64 编码是网络上最常见的用于传输8Bit字节代码的编码方式之一,可用于在 HTTP 环境下传递较长的标识信息。采用 Base64 编码具有不可读性,即所编码的数据不会被人用肉眼所直接看到。


但是,Base64 编码对于白帽子而言,其实比较简单,再次证明这个钓鱼网站Low。carry_your轻松找到了反编码工具,密码被破解。


然而,电影里的反派也不是一下就能被虐杀,总要有曲折,不然就是编剧蔑视观众智商!这话放到这个故事里也成立。


carry_you r告诉雷锋网,本来打算通过管理员的邮箱发件箱扒拉一下相关同伙的信息,结果——


我成功登陆了管理员的网易邮箱,不过可惜的是他做了设置,发件箱里没有信息。


不要灰心!我们要拥抱挫折。



上一处漏洞进行不下去了,我又进行了一翻寻找,又找到一处漏洞,这是一处注入,是update型的报错注入,我拿到管理员的信息。


这里的注入,是指 SQL 注入,通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。而 update 型的报错注入,是指通过在正常的更新数据库语句参数里,插入伪装的恶意语句,使数据库引擎执行恶意语句并出错,将恶意语句查询出来的信息暴露出来。


于是,骗子的面纱揭开了!carry_your 得到了如下图所示的许多管理员的信息。



同时,好消息接连传过来,骗子的底裤都被扒掉了,XSS 平台反馈了后台地址及密码信息。



密码也是 Base64 编码。反编码后,后台地址,管理员账号、密码一应俱全。登陆之后,carry_your 看到了这些:



carry_your 同时发现了46个账号,46个域名,46个管理账号的邮箱。这个盗窃团伙不是一般大!



同时,他也发现了很多受骗者的信息。原来被骗的人有这么多……真是让人痛心疾首,你看,有两位盆友还认认真真填写了两次,包括“你的理想工作是什么”“吃饱等饿”……只怪骗子太狡猾,钓鱼网站略逼真!




3.不要忽视哥,哥要动真格!


资料搜集完毕,carry_your 开始与骗子斗智斗勇了。


carry_your 告诉雷锋网,他给46个管理者的邮箱群发了一封邮件,开始宣战,大意是“已经拿到系统的管理权限,知道网站的漏洞,想要谈一谈。”


为了表明自己谈判的决心,carry_your 修改了一些管理者的账户密码,并清除掉了两个钓鱼网站搜罗到的新受骗者的 ID 及密码信息,如果骗子没来得及备份,那么,你懂的。总之,意思就是,不要忽视哥,哥要动真格!


其中一个骗子收到邮件并发现账号密码被修改后,加了carry_your 的QQ,于是,正面斗争开始了。



carry_your 对雷锋网说,如果一直攻击钓鱼网站,一直删除其中的受骗者信息,而网站有漏洞,骗子不知道怎么修复,那么骗子会损失惨重。


同时,此前骗子如果已经给1000位被偷手机者发送了钓鱼网站链接,而链接已经如骗子而言,为了躲避carry_your 的攻击修改了域名,受害者信息还没回复信息的话,那么这意味着之前1000条短信都白发了。



于是,在较量之下,沟通了一下午,骗子终于妥协,答应将手机送回来了。


4.归还手机——上演谍战大戏


9月13日深夜,骗子派来的马仔提前和carry_your 预定好了归还手机的地点。让他没想到的是,骗子派来的马仔还是开着路虎来送的手机,呵呵。



马仔将手机交给他的方式极其特别,像谍战片里地下工作者接头。将路虎远远停在路对面,迅速下车,走到约定地点,镇定地将手机放到地上,快步返回车上,整个过程不过短短几分钟。carry_your 明白骗子这样做的目的:骗子在预防有警察蹲点……


手机拿回来了,0点,carry_your 向朋友传达了这一喜讯。



此事已经告一段落。但是,还有多少手机在骗子手中?


carry_your 认为,如果第二天没有接到钓鱼短信,没有及时技术反制和斡旋,想必手机早就流通到黑市中,就算攻击骗子的钓鱼网站,也不可能拿回手机。


同时,他感叹,这真是一伙分工明确、沟通顺畅的盗窃团伙,居然能在一个下午从“茫茫机海”中找到他朋友的这一部。


可以看到,这个手机上还标注了原来的手机号,据骗子说,他们在盗窃手机后,归库登记时甚至还会记录盗窃地点等详细信息。


一整套流程下来,你怕不怕?没关系,要么成为白帽子,要么有一个贴心的白帽子的朋友就好,或者,干脆谨慎小心,不要丢手机好了,然而,你又会少一个借口买 iPhone7 了!


宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。


收藏 已赞