牛牛逼逼叉叉
菜单

论出轨换号不用联通的重要性-转载[习科]

2013年12月16日,分类《生活点滴》,作者:
博客捐助

起因不多说了,就是讲述了一个女子背叛了丈夫,无助的丈夫找到了包包大人,想要查到妻子手机聊天记录,几天到底和谁往来。。。
包包大人带你了解事实,万非得已杀进联通服务器,取得关键KEY

只是过程。不包含任何技术细节
细节部分一律略过
下面步入正题

吃完晚饭遇到一人加我qq 可能是在百度贴吧看到我n年前发过破解网页密码的帖子
于是让我帮他查下他老婆联通手机号的通话记录。老婆分居已久,手机密码已被老婆改掉
113632Wrn.jpg
113632DNd.jpg
后来我找他要了他老婆的一些个人信息,身份证 ,固话,常用密码 之类的。。

经过简单的几个实验 并不能在10010网站成功登陆。。(失败)
而且首页有验证码。 暴力破解肯定没戏了。。(失败)
好在他替我提供了另外一个信息,他说他们省有一个定制手机客户端 也可登陆后查询通话记录
没有验证码。。
113633EhB.jpg
113633qBu.jpg
随后我下载了手机客户端。输入手机号 和密码 用Burp抓包想要尝试用burp暴力破解。。
可惜啊抓包的信息都加密了
113633UYx.png
看来暴力破解又没戏了。。(失败)
这时候没办法了。。尝试打开这个服务器网站看有无登陆后台地方。。通过后台拿到服务器权限
细节不多说通过暴力破解后台 成功登陆,
113634NSM.jpg
113635VRz.jpg
上传拿到shell 顿时一喜 赶紧快了一半了
接下来的事情又让我跌入谷底。。
因为服务器是没有联通验证用户密码那里的数据库连接地方。。。要不就是我找不到
上图看到这个后台只是发布客户端一些广告或反馈的内容的东西(失败)
我开始翻目录各种上传的目录和日志目录 找有用信息
电话信息没找到反找到不少 宽带账号密码打开后看了看
对我没什么价值。。删之
113635iFv.png
这时发现了一个日志目录
113635mZ6.png
打开后 记录了详细的postget信息

好了 现在的思路就有了
在登陆的那一霎那删掉错误的post数据改成 日志里正确的

但是我需要知道具体登陆日期方便查找
113636kd6.jpg
但是旧密码的post放到现在的上面可以吗。。试试吧。。
打开客户端输入手机号186 xxxx xxxx密码随便 我输了111111

113636lmd.jpg
接着我下载了6号和7号的日志
搜索手机号找到如下内容
113637ttL.png

替换内容 下面的位日志的post数据

113637BU6.png

成功了。。

113637PGe.jpg

1136388hX.jpg
赶紧把记录发给那哥们
真相就在眼前了
113638AiM.jpg
113639d3E.jpg

113639q0D.jpg
哎。。虽然真相出来了,但还是为他感到默默悲哀,在这里只能给他默默送上祝福吧,不要做傻事

总的来说这一次的渗透非常的艰难 用各种搜索引擎都搜不到有用信息,不过还是在不知道密码的情况下看到了她的通话记录,,目的达到了。。
到此为止 碎觉去了

 



发表评论

电子邮件地址不会被公开。 必填项已用*标注

【上一篇】

PHP短信轰炸器??更新最新v1.2

【下一篇】

jquery瀑布流设计-源码下载