论隔壁妹子的QQ空间私密照片是肿么泄漏的

发表于 2016-9-6 17:19 | 浏览 6557

记得很久前在知乎上看到一篇很赞的帖子,讲的大致内容是《蹭网背后,你是怎么被黑的》,感兴趣的童鞋也可以围观一下,看看知乎大神 Evil 是如何将一个虚构的故事罗列的如此的真实扣人心弦的。看完了,有木有对隔壁妹子也开始“匆匆欲动”呢。。。

前奏很短,不要走开~ ^_^。 今天菲菲君这里不讲套路,只讲方法、以及深层次的被黑原理,当然最后也有相对而应的防御大法。我们一起来探讨一下小小路由器后面的大套路!

前言

移动互联网大时代的到来,似乎将我们用一张大网所笼罩起来,满大街的免费WiFi,随处可连,我们刷微博、聊QQ、玩空间,刷朋友圈,网购叫外卖…… 但在免费蹭网身后,一张无形的黑手也许正悄悄的在暗处向你伸来。你的手机号,微信,住址,单位,甚至是朋友圈、QQ空间私密照片统统被不善之人随手擒来,个人隐私荡然无存。。。

验证

想必小伙伴们还记得去年央视315晚会上,观众在现场眼睁睁的就被安全工程师“黑”了一把。但是时至今日又有多少人还记得关于无线网络的安全与患难呢?

好,我们来接着延续 Evil 大神虚构的故事,亲手印证一下,看看隔壁妹子的私密照片是如何被坏人劫持窃取哒~ 希望大家可以关注网络安全,从一枚小小的路由器开始。

思路

想要达到我们的最终目的,就要让妹子主动或被动上勾,只有跟妹子同处一室才好“办事儿”嘛~ 所以第一步必须要跟妹子处于同一内网,也就是连上同一路由!三招可有:

  • 通过万能钥匙解开密码,主动连上妹子用的WiFi
  • 修改自己路由的SSID,让妹子被动连上自己的WiFi
  • 妹子没有WiFi?好吧,那我们伪装一个无密码的WiFi 来试试?

以上三种方法实操很容易实现,没办法,蹭网之心人人有之,人性本也~ 跑偏啦,赶紧转回话题。看看下一步咋办?

1、如果妹子主动连上我们控制的路由器,那就好办了呢,如果是智能路由器可以直接抓取流过路由的所有数据链路,然后直接在电脑上用 WireShark 分析关于QQ空间的 HTTP 数据流就可以轻松搞定。

2、方法1行不通没关系,如果你的路由不支持抓包或我们连接的是妹子路由,那也不难办,局域网最容易攻破的是什么?没错,ARP 劫持,这也是菲菲博客中反复提到的,我们的内网是不可信的(协议之间说好的信任捏~)。

实战

小小工具一发包,妹子的上网数据全看到

OK,一切准备就绪,咱们真操实练起来,就从内网最薄弱的arp着手,不费吃灰之力,一个小命令跑起来,妹子的手机瞬间即被劫持,所有非加密通信数据全部被截获。。。

轻轻敲一下命令,arp就被劫持掉了

看来妹子正在跟朋友聊QQ啊,虽然QQ的聊天记录已经加密看不到,但是妹子的QQ号码已经泄漏了~ 知道QQ号码能否搞到微信号?还真有可能,就要看有木有绑定QQ了。

解码16进制数据流,可以看到明文QQ号

来看看隔壁宅个妹子还有没有其他什么爱好?原来妹子也喜欢看动漫~

此处省略 …… 截获的数据包太多太多,懒得贴了。

试想,你每天上网搜什么,干什么,看什么通通被别人一览无余,有多么可怕!

可喜(悲)的是,手机QQ目前已经对网络传输数据作加密处理了,包括手Q端的空间好友动态等等,现在也很难直接捕获 Cookie 进行劫持了。那我们标题说好的私密照片呢?

别急,等待时机。机会还是终于出现了,果然还是百密一疏,屏幕前突然闪现出一组 /psb*** 的明文URL请求,果断重点关注,原来妹子刚刚上传一组照片... 先睹为快。。

妹子刚刚上传的空间照片已经暴露了

(应妹子的强力要求,照片就不公开了,同时告知其修改了无线密码)

好消息是,手机QQ空间触屏版目前已经启用了全站 HTTPS 加密,但是电脑QQ空间暂时还没有启用,这就给不怀善意者留了一个很大的空子。更复杂的是目前QQ PC平台旗下全站 Cookie 都是通用的,只要一个站点没有启用https加密,那么就有可能导致全站劫持。菲菲君也在此希望腾讯可以向淘宝、百度一样,早日开启全站HTTPS模式,加密才是硬道理!

安全与防御

说了这么多,想必大家已经对潜在的arp劫持危害熟知于心,那么怎么防范劫持呢?个人觉得除了知乎帖子里所说道的修改路由器密码(包括 WiFi 和管理密码),开启电脑杀毒软件的局域网防火墙,以及不要对手机 Root 以外。还可以注意以下几点:

  • 手动绑定静态arp,命令arp -s 192.168.1.xxx aa-bb-cc-dd-ee-ff(Linux 要将- 改为冒号)
  • 陌生WiFi不要连:出门在外,尽量不要连接不熟悉的公共或私人WiFi,哪怕费点流量也罢
  • 手机杀毒无卵用:以上测试实验,各路手机安全软件无一查出 arp 劫持,结果令人堪忧
  • 手机QQ及时更新:正如上面所说,最新版QQ已经全面加密通信数据,老司机不要开破车

... ...

(原创文章版权所有,如需转载请注明原文链接!)