如何怎么入侵别人微信的微信密码/如何怎么入侵别人微信的微信密码

来源:蜘蛛抓取(WebSpider) 时间:2017-01-19 16:59 标签: 如何盗别人的微信密码
网友曝光微信密码漏洞 柳岩马化腾账号被入侵(图)
在前不久,有极客网友根据电话采访周鸿祎的视频拨号声,分析出了周鸿祎的电话号码。此事一经报道,立刻在社会中传播开来。极客探究和不留后患的做法甚至得到了社会各界的广泛认可。周鸿祎得知后亲自抛出了橄榄枝。
19日下午,有网友向本网提供消息,在WooYun 论坛又有一位极具实力的极客(黑客),他通过利用微信账号安全的设置漏洞,成功地破解了多为名人的微信账号,并公布为证。目前该极客已经成功破解了柳岩、马化腾的微信账号。不知他会不会得到马化腾的垂青呢?漏洞及破解具体过程如下:
今天发现个微信群发的漏洞。还没玩。就被修补了。
于是就有了这个漏洞的产生。
同样问题产生在重置用户密码的环节。
在微信官方的首页上发现新增了如下功能模块
微信功能模块
访问后看到这个功能。来了兴趣
微信重设密码
在这个页面输入一个已经注册了微信的手机号。
重设密码过程界面
得到如下提示
选择我已收到验证码就跳转到一个修改密码的页面,如下
在这一步抓包。得到如下包文
代码(可点击放大)
将包文中的verifycode进行重复提交后发现会提示
这样的话。就要想办法去突破。
经过一系列尝试后发现如果在phone=的号码后面添加不为数字的字符时,可以绕过此限制。于是推理出其判断方法
如果phone=的尝试次数大于阀值,则提示请求过于频繁
但在这一步之前没有对phone进行提纯。所以可以将特殊字符带入
但在下一步的时候进行了提纯。只取了phone中的数字部分。
然后在取出此号码的verifycode进行比对。
比对成功则修改密码
修改密码成功
这个地方的薄弱环节在于微信重置密码的验证码为4-5位纯数字。
且数字范围在之间
也就是说。我只要尝试19000次。我用50个线程发包.3分钟即可成功修改一个密码。
在发现此漏洞后。我修改了两个人的微信帐号。
一个是最近很喜欢的明星柳岩的经纪人
柳岩在微搏上公布了经纪人的手机号。
成功修改进入后。通过微信自带的离线消息查看功能。可以成功查看其所有QQ好友
于是得到了柳岩的QQ号。.但是拒绝添加好友了。.伤心
这里由于隐私原因。就不上图了。
另外一个是腾讯的某高管。我在百度上搜索到了腾讯高管的list
然后通过list里的手机号修改了其密码。和尊敬的马化腾马大哥进行了一次亲密的交谈。
由于夜深了。他不在线。所以没收到其回应。附图几张。
网友和“小马哥”开玩笑
和马哥开了个小玩笑。
然后找到了最近正好很火的周鸿祎手机泄漏的视频。
同样通过音频分析得到号码。尝试修改其微信密码。.
发现周哥果然没有注册微信。放弃了尝试。漏洞证明:
修复方案:增强下机制吧。&
转载请注明:文章转载自 开源中国社区
本文标题:网友曝光微信密码漏洞 柳岩马化腾账号被入侵(图)
本文地址:
双向验证行不通,用户会担心订阅了垃圾服务, 双向短信经常时一些收费服务。
如果他先提纯号码就可以避免了,总归来说,还是一个BUG
这人是我基友不是对手…前段时间的事了…老新闻了,还发
burpsuite/tools/689.html这里有教程。谢谢和jmeter很像网友点击排行IIS 7.5 详细错误 - 404.0 - Not Found
Internet Information Services 7.5
HTTP 错误 404.0 - Not Found
您要找的资源已被删除、已更名或暂时不可用。
详细错误信息
模块IIS Web Core
通知MapRequestHandler
处理程序ASPClassic
错误代码0x
请求的 URL:80/index.asp?aJYU/ChRp7i.html
物理路径d:\freehost\jishiyu07\web\index.asp
登录方法匿名
登录用户匿名
最可能的原因:
指定的目录或文件在 Web 服务器上不存在。
URL 拼写错误。
某个自定义筛选器或模块(如 URLScan)限制了对该文件的访问。
可尝试的操作:
在 Web 服务器上创建内容。
检查浏览器 URL。
创建跟踪规则以跟踪此 HTTP 状态代码的失败请求,并查看是哪个模块在调用 SetStatus。有关为失败的请求创建跟踪规则的详细信息,请单击。
链接和更多信息
此错误表明文件或目录在服务器上不存在。请创建文件或目录并重新尝试请求。

我要回帖

更多关于 如何盗别人的微信密码 的文章

 

随机推荐