量子哈希
最近我遇到了一个网络问题,网页加载非常慢,让我非常生气。没有网络的时候,我觉得自己和咸鱼没有什么区别。于是我决定尝试使用邻居的WiFi,但是却无法成功连接。正当我准备尝试其他WiFi时,我看到邻居下楼扔垃圾的时候,突然想到他的手机号码。我决定尝试使用他的手机号码来破解WiFi密码,开启我的渗透之路。
我拿到他扔出来的包裹后,发现信息面板已经磨损了很多,但是我发现包裹里有一张发货单。发货单上的顾客手机、名字等信息都被打码了,但是购买的时间、购买物品和订单号等信息非常详细。
我利用发货单上的信息进入淘宝找到了这个店铺,并开始利用客服来获取该人的个人信息。我想了很多种解释来套取他的个人信息,比如代购、地址填错、货物未收到或发错货等。最终,我只说了三句话:“客服你好,我在这里买了一个东西,我想确认一下我的个人信息是否填错了,订单号是XXX。”客服非常给力地直接给出了我的个人信息。
拿到个人信息后,我尝试破解WiFi密码,但是仍然失败。我意识到他可能添加了其他安全措施,或者根本不是手机号作为密码。于是我自己制作了一个字典,并使用wifislax中的工具进行跑包,终于成功破解了密码。我之所以能成功,是因为很多应用都要求绑定手机号,而纯数字密码是不安全的。在输入密码时,网页会明确提示不要使用纯数字密码。我运气好并且对人们设置密码的习惯进行了研究,才能成功进入WiFi。
由于涉及个人信息,我用其他数字代替了手机号,并生成了一个字典。我发现很多人会选择使用自己的姓氏、手机号和标点符号来设置密码。我还研究了手机键盘和电脑键盘上标点符号的位置,因为人们在输入标点符号时会选择离数字键盘最近的符号,这样打密码会更连贯、容易记忆。我成功进入了WiFi,但是发现没有设备在线,无法进行ARP中间人等操作,有些失望。
我突然想到路由器管理员密码可能就是WiFi密码。然而,我尝试了很多次都无法进入。我面临着两种常见的管理员密码破解方法:爆破和钓鱼。我选择了爆破,但是这个过程并不容易。许多输入密码的界面都有防止爆破的措施,比如输错多次密码后出现验证码或限制登录次数等。我测试了小米路由器,发现在输入密码错误三次后会有一段时间的等待,然后才能再次登录后台。这给了我一丝希望,因为小米路由器后台登录不需要输入账号,这让我有了爆破的机会。
然而,我遇到了一个问题,我不会编写脚本。我曾考虑向他人寻求帮助,但是突然意识到,如果他们也不会,我该怎么办?于是我陷入沉思,想到了可以使用按键精灵这样的软件来代替C/C++/PY等脚本语言。虽然按键精灵的功能不如那些脚本语言强大,但对于不懂脚本语言的人来说,它是一个很好的选择。我摸索了一段时间,然后开始编写脚本,并成功测试了它。
当然,不同的环境和参数可能需要进行自己的测试和调整。虽然我的脚本写得不够好,但对于不懂脚本语言的人来说,它仍然是一个不错的选择。使用按键精灵时,有时会出现一些问题,比如确认失灵、文本输入失败等,这需要根据具体环境进行调整。
我成功地使用脚本进入了WiFi,但是发现里面没有什么有趣的东西。我开始怀疑这个人是否在其他地方也使用了相同的密码。我尝试使用WiFi密码和管理员密码测试登录QQ和微信,结果发现WiFi密码正好是QQ和微信的密码(尽管QQ有设备锁,微信需要好友验证,我只是验证了密码的一致性,并没有真正进入账号)。这个人真的代表了很多人,一个密码多处使用已经成为常态。我们也不可能为每个软件都使用不同的密码,尤其是现在许多软件都需要手机号进行验证,这增加了使用手机号作为密码的可能性。
我建议大家在不同的平台上使用不同的密码,如果密码难以记忆,可以使用密码管理软件。虽然为了安全可能会牺牲一些方便性,但这是必要的。对于重要的软件密码,进行分类和管理,这样WiFi密码才能更安全。我推荐使用符号+111111+符号、111+符号1111+符号111等密码组合,可以不使用常规符号如π等。希望这篇文章能给大家带来一些渗透的启发,有时候一些平常的东西可能比其他任何东西都更具威胁性。
