精准入侵号码交易网 与 黑客远程定位

a) 小骗局

一位小读者准备购买一个6位的QQ号码，并发送一个网址，询问是否是一个骗局。

打开网址~页面如右图所示。

哎，现在的骗局真是越来越严重了。

我姐姐以前写过很多犯罪案件。 欺诈必须首先是真实的，其次才是幻想必须得到满足。

就拿这个网站来说，价格真实、网站真实、许可证真实、记录真实、编辑真实，可以骗很多钱。

所谓真价，只要把6位数的价格定在3000，平均售价只需要比市场价高出20%，就可以用价格来营造一种廉价感。可靠性和效益；

所谓正宗网站，只需更改网址即可避免被360屏蔽；

所谓执照是真实的，只要在百度上搜索“执照”，就会出现大量高清、无编码的营业执照；

所谓备案注册是真的，只要在百度上搜索“备案域名”，76元就可以购买备案域名。 可以在住房和城乡建设部官方网站上查到。

所谓真相，就是只需要在网站上写字，线下就可以面对面交易。 很少有傻子会为了几千块钱长途跋涉去面对面交易，但这可以建立信任感。

一切如右图所示，轻松搞定。

这种欺骗的手段实在是太糟糕了。

我查了域名whois，发现该网站是2013年创建的，百度后发现被骗的人还蛮多的。

2）精准攻击

这些是应对诈骗的常用方法。

Noble Stream：入侵诈骗网站删除源代码。

暴力流量：直接攻击，使网站打不开，百度会提高该网站的关键词排名，不会再有人上当受骗。

社工流程：添加对方好友，获取信任，通过木马、钓鱼等方式获取对方个人信息。

作为一个晚期懒癌，暴力直播最适合我，但我最好先尝试一下温和一点的方式。

只需点击该诈骗网站上的一个链接即可，链接如下：

首先想到最主流的“SQL注入”攻击。 SQL注入的原理非常简单。 URL末尾的“id=20317”，每个数字代表一个网页，该网页的内容存储在数据库中。 当用户打开某个URL时，程序会进入数据库查询该网页“id=[编号]”并显示给用户。

但用户也有优点和缺点。 如果坏人执行“id=20317”旁边的特殊语句，他就可以从数据库中获取特殊信息，例如管理员密码。

一般情况下，网站都会被屏蔽，严禁用户输入特殊语句，但程序是人写的，页面那么多，总有疏漏。

首先在网址后输入“and1=1”，发现页面正常打开。

且1=1

在URL后面输入“and1=2”后，网站报错，没有任何显示。

且1=2

中学生都知道1=1是对的，1=2是错的。 该程序像中学生一样聪明。 如果1=1正确则正常显示。 如果1=2错误，数据库会报错。

该代码的含义是确定网站是否会屏蔽特殊指令。 综上，我们知道，你可以随意输入代码，进入数据库查询任何信息，而且网站并没有屏蔽。

收到后可以自动输入指令查询网站密码，也可以使用“穿山甲”、“阿D”、“SQLMAP”等软件手动查询。

然而姐姐尝试了所有的软件，但都失败了。

该网站使用Access数据库，早就被证实存在SQL漏洞。 软件尝试了936次，还是无法获取数据库的表段。

常见的数据库表节有“admin”、“guanli”、“administrator”……软件自带了上百个表节名称，几乎包含了所有可能的类型，但是这个网站的表节太特殊了。 它们都不正确。

还有一个想法，如果你能知道这个网站用的是哪个程序，下载这个程序，打开数据库看看，那么你就能知道数据库表段了。

在百度上搜索“CMS识别”，打开几个在线识别源代码的网站，输入网址进行查询。

然而，没有一个网站能够被成功识别远程付款防骗，全部失败！

这些情况一般都可以放弃，也可以看看网站代码。 其实你可以从代码中找到端倪。

键盘右键，查看源代码，想要的信息一目了然。

name="author" content="Erox"，根据姐姐的中学中文水平，这句话的意思是程序名称是“Erox”；

百度搜索：“erox号码源代码”

我成功找到了源码的下载地址。 该程序自 2013 年以来就已推出，许多人已将其转让给其他人。

下载源码，找到数据库文件，直接打开。

原来存储管理员信息的数据库表部分为“erox_admin”，存储管理员登录名的数组为“name”，存储管理员密码的数组为“password”

拿出来，打开软件，添加数组“erox_admin”，使用软件手动进行SQL注入攻击，获取网站管理员密码。

成功破解管理员的用户名和密码，用户名是“admin”，密码是“7feffef61714696171469ee808080dd323232cc055905590559ff888888bb377245377245”；

几乎所有网站都是MD5加密的，密文都是16位或者32位，这个网站也是一样。

打开md5揭秘网站，输入密文，成功揭秘。

知道管理员用户名和密码后，即可登录。

但是，我找不到登录页面。 本程序默认的管理员登录后台是“erox”。 一般情况下，输入“”就可以登录，但是小骗局改变了登录背景，所以即使有密码也没有地方登录。 。

在这些情况下，事情可能很简单。 使用软件批量扫描管理登录页面。 只要你花更多的时间，你就会成功。 如果你直接攻击这个诈骗网站来发泄愤怒，你将在5秒内瘫痪。

这个网站没有任何价值，破解也是浪费时间。 最好尝试使用同一程序制作的其他网站。

姐姐随便找了十几个出售各种号码的网站，批量SQL注入，批量泄露，成功登录了一批网站的后台。

如右图所示：

点击订单管理，找到很多购买手机号码的信息。

大多数人都是货到付款，很少有人网上支付。

[网站管理员已获悉该漏洞，因此您不必尝试。 】

聪明的读者一定能想到如何使用它。

隔断！

只要有人在他们的网站上下了订单，黑客拿到用户的订单后，就会亲自给用户发货，然后删除网站上的订单记录，这样就没有人知道如何赚钱了。

一个好的电话号码可谓利润丰厚！

订单切割方法过去非常流行。 黑客获得了大量做百度竞价排名网站的权限。 用户在网站上下订单。 黑客提前获取订单信息，删除订单数据，私自发货……利润极其丰厚。

一位传奇前辈，从大量商业网站获取信息远程付款防骗，每个网站每晚只偷一单，赚钱轻松无忧。

3）远程定位

《》文章发表以来，收到了很多问题，有读者问如何做远程定位。

虽然定位一个人很简单，但三流的技术和一点方法就足够了。

先添加对方的Momo/QQ，与对方聊天后发送链接。 对方点击后，精确位置就会显露出来。 右图是姐姐的测试。