查开房网站调查
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
隐私泄露:查开房网站的背后 金乌实验室认证作者2017-03-07现金奖励共1689201人围观 ,发现 54 个不明物体 特别企划资讯
*原创作者:Mars@金乌网络安全实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载
0×00前言
随着网络的发展,个人信息泄露情况不断升级,个人信息在“黑市”的贩卖日益猖獗。网络中早已公然兜售酒店开房等信息,而这些信息仅可在少数渠道才可获得,准确度之高令人触目惊心。
0×01起因
美(pao)酒(huo)佳(lian)人(tian)的2月14刚刚过完,金乌实验室的小伙伴们近日注意到“查开房”等关键词的搜索热度迅速飙升。通过百度搜索发现,很多网站都在提供查询开房信息和手机定位等隐私查询服务。经调查发现,从开房记录流出到出售再到推广网站,已经成为一条成熟的产业链,本文为针对查开房网站背后作者的一次追溯。
0×02正文
通过多个网站上提供的不同QQ号码,我们联系到了几个查开房服务的提供者。查询分全国或省市,标价不同,简单的聊了几句,没得到有用的信息,只得到了支付账户。这些支付宝实名信息是松原市的一家企业,虽然邮箱不同但是认证信息一致,初步判断是同一伙人制作。
1.png
2.png
3.png
4.png
0×03信息收集
由于众多QQ均为新号,无法通过QQ得到需要的信息。既然查开房网站可能是同一伙人制作,那我们就从网站作为突破口。
1. 通过搜索引擎,whois信息收集,旁站查询等方法收集整理如下域名:
5.png
2. 通过Web取证到更多可用信息
网站大致有三种模板,都是asp编写,都存在SQL Injection漏洞,后台可以getshell,大部分网站为站库分离,分离的网站均外连到同一台mssql服务器(IP:117.18.**.***)。数据内容为之前泄露的2000W(1.7G)开房数据,至此我们更加确定这些网站的制作肯定为一伙人所为。
6.png
7.png
通过查看这些网站里配置文件中的发信配置,均指向一个邮箱poi*******@163.com,密码为:8401******。
8.png
0×04社工
1、登陆该邮箱得到以下信息:
邮箱昵称:青青
9.png
通过信箱中某备案系统给其发送的邮件,得知该邮箱下有一备案信息,指向公司为中山柏高清洁剂企业有限公司。
10.png
邮件中我们发现邮箱po******@163.com,根据命名规则,我们推测这个邮箱为作者另一个邮箱,发件人为叶卫权。
11.png
12.png
附件中都是些非法网站的源码,看来作者不只是做查开房站点。
13.png
在邮件中我们得到123******和851*****两个企鹅号及企鹅邮箱po****@qq.com。
14.png
15.png
16.png
通过邮箱常用登陆地址查询,可知作者应是广东人。
17.png
手机号:134*****297
18.png
和一些常用的昵称,用户名:青青,poisonlv。
19.png
20.png
2、社交信息
通过收集到的常用用户名搜索社交账户,整理后得到如下信息:
百度贴吧ID:poisonlv,广东江门人,女友叫徐蕾,曾运营的网站:
http://www.dawang****ware.com
http://www.bia****yc.com
21.png
通过百度知道,我们得知以下信息:
QQ851***09
QQ815***9
邮箱:
Poiso***v@163.com
贡献词条:
中山柏高清洁剂企业有限公司
22.png
23.png
24.png
25.png
26.png
0×05水落石出
搜索得到的QQ可以确认为同一人,并得知:
手机号:134*****297,邮箱:pois***v@qq.com,姓名:叶卫青,曾用名:叶卫权,住址:广东省江门市江海区。
27.png
通过群关系搜索另一个QQ群,得知作者曾就读广州大学纺织学院01计算机系。
28.png
29.png
通过社工库及常用密码得到部分社交应用信息,得知该作者女友名字叫徐蕾,与之前贴吧得到的信息一致。
30.png
通过上面收集到的用户名、邮箱、手机号搜索微信,搜索结果为同一微信号,可以确定上面得到信息的准确性。
31.png
支付宝实名再次认证了前面推测的准确性。
32.jpg
0×06总结
到这里整个追溯过程就结束了,本想把Web环节写的详细些,最后还是略掉了。梳理一下整个过程及思路,最后附上张简单的逻辑图。
33.png
0×07写在最后
希望作者能尽快关闭网站,不再继续泄露个人隐私。隐私保护问题还是要从根源解决,建议有关部门及时从销售渠道端追查非法交易,遏制“黑产”泛滥。
同学们如果有兴趣深入交流,可联系金乌实验室,联系方式:jinwu@jinwulab.com
*原创作者:Mars@金乌网络安全实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载
金乌实验室
金乌实验室
6 篇文章
等级: 3级
||
上一篇:不学奥斯卡黑《长城》,回味马特达蒙《谍影重重5》的技术亮点下一篇:这款奇葩的Android勒索软件竟然让受害者用语音说出解锁密码
这些评论亮了
aaaa 回复
好不容易搞了一套个人信息搞点事情,这样一来,又要换一套信息了 
)12(亮了
Ezio 回复
只有我想知道作者QQ是用的什么插件吗?
)10(亮了
元气少女 (1级)元气少女 biubiubiu回复
一定要将这些坏人绳之以法 (¬︿̫̿¬☆)
)9(亮了
金乌g0v (1级)回复
内部名字:《绝密!管好你的另一伴,这些网站千万不能看》
)8(亮了
放开那个大婶 (2级)回复
社工还是无敌啊
)6(亮了
发表评论已有 54 条评论
元气少女 (1级) 元气少女 biubiubiu 2017-03-07回复 1楼
一定要将这些坏人绳之以法 (¬︿̫̿¬☆)
亮了(9)
12222222222222 2017-03-09回复
@ 元气少女 妇女?
亮了(0)
放开那个大婶 (2级) 2017-03-07回复 2楼
社工还是无敌啊
亮了(6)
大橙子不是黑客 (1级) 这家伙太懒了-------恩恩,是啊! 2017-03-07回复 3楼
金乌社工好屌
亮了(5)
金乌g0v (1级) 2017-03-07回复 4楼
内部名字:《绝密!管好你的另一伴,这些网站千万不能看》
亮了(8)
just4role (2级) ">alert(111) 2017-03-07回复 5楼
:sad: 这应该只是这其中的一个。。
亮了(6)
zan 2017-03-07回复 6楼
不错,就喜欢此类溯源的文章
亮了(4)
dalao大屌 2017-03-07回复 7楼
以社工之道还治社工之身。
亮了(6)
唉 2017-03-07回复 8楼
没本事不要做违法的事啊
亮了(3)
白云飞 2017-03-07回复 9楼
哇塞,你们好叼啊,佩服佩服
亮了(4)
iTroy (1级) 2017-03-07回复
@ 白云飞 hello 知道我是谁吧
亮了(0)
aaaa 2017-03-07回复 10楼
好不容易搞了一套个人信息搞点事情,这样一来,又要换一套信息了
亮了(12)
12222222222222 2017-03-07回复
@ aaaa 反社工
亮了(4)
赵小胖 2017-03-07回复 11楼
厉害厉害~~ 社工就是牛 什么都能弄出来 看来个人信息不能随便泄露了 
亮了(2)
白骨夫人 (3级) 2017-03-07回复 12楼
好666666啊
亮了(4)
Dream__ZH (1级) 2017-03-07回复 13楼
码打的诚意满满
亮了(5)
NOL4rb (2级) 梦里花落知多少 2017-03-07回复 14楼
又是一次SQL引发的血案。。
亮了(4)
taylorwin (6级) 2017-03-07回复 15楼
能干出,和那些内鬼合作,那就牛了。
亮了(4)
Ezio 2017-03-07回复 16楼
只有我想知道作者QQ是用的什么插件吗?
亮了(10)
Everydayl (1级) 2018-01-14回复
@ Ezio 我也想知道 
亮了(0)
incstrive (1级) 2017-03-07回复 17楼
厉害了,这溯源。。
亮了(3)
fggg 2017-03-07回复 18楼
开门,查水表
亮了(4)
河蟹 2017-03-07回复 19楼
炮火连天?
亮了(5)
LK的世界 (1级) 2017-03-07回复 20楼
虽然知道做伸手党不好,但是还是想要作者用的qq :shock:
亮了(5)
咖啡加糖不加咖啡 2017-03-07回复 21楼
[doge]Mark
亮了(4)
ss 2017-03-07回复 22楼
亮了(4)
后羿 2017-03-07回复 23楼
金乌金乌我是后羿
亮了(3)
jiyulin (1级) 一个会修点电脑的程序员! 2017-03-07回复 24楼
我的个神啊。。。。。
骗子遇到白帽子,不得哭死
亮了(4)
带头大哥 2017-03-07回复 25楼
求Web取证细节啊
亮了(1)
Riki0 (1级) 2017-03-07回复 26楼
只求最后的思维导图是哪个app
亮了(0)
田田田 (1级) 2017-03-08回复
@ Riki0 xmind你试试
亮了(0)
softbug 认证作者专栏作者(7级) i am here! 2017-03-07回复 27楼
金乌这个文章,点赞!越来越好!
亮了(0)
嗨 2017-03-07回复 28楼
如果那些邮件被删除了还能查出来么
亮了(0)
an_time (3级) 2017-03-08回复 29楼
很详细
亮了(0)
xxxxxx 2017-03-08回复 30楼
一个注入引发的血案
亮了(1)
猫小侠 (1级) 这家伙太懒了,还每天都要好心情! 2017-03-08回复 31楼
求Web取证细节啊
亮了(0)
freebuf 2017-03-08回复 32楼
查社工库跟人家查开房有啥区别?
亮了(5)
CodeManCN (1级) 2017-03-08回复 33楼
python sqlmap.py -u "http://2000wckf.com/index.asp?keyword=" –dbs
亮了(5)
M4rs (1级) 2017-03-08回复 34楼
QQ用的NtrQQ 插件 
亮了(2)
M4rs (1级) 2017-03-08回复 35楼
思维导图软件很多,如果觉得软件繁琐可以用在线的也不错 https://www.processon.com/
亮了(1)
乌云核心黑帽子 2017-03-08回复 36楼
我猜社工邮箱其实是用的腾讯邮箱的xss撸下的。
亮了(3)
464 2017-03-08回复 37楼
@ Ezio NtrQQ
亮了(1)
乐享客服anna (1级) 2017-03-08回复 38楼
我没看完,马不停蹄的先滑到下面来跪拜一下再继续看!!!!!!
亮了(0)
D14tr0y (4级) 2017-03-09回复 39楼
苍海工具不是用不了了嘛?????还有群关系在哪里查 很多都关了自己搭建??
亮了(0)
隔壁老陈 (1级) 2017-03-09回复 40楼
查开房网站,是不是被你们给搞坏了,昨天还好好的!
亮了(1)
金乌实验室 2017-03-09回复 41楼
团队第三篇文章,内部名字:《绝密!管好你的另一伴,这些网站千万不能看》偷笑
亮了(2)
姬神龚 2017-03-10回复 42楼
眼花缭乱,叹为观止
亮了(0)
HELEN 2017-03-12回复 43楼
这是个什么实验室?
亮了(0)
ohmysunshine (1级) 2017-03-13回复 44楼
社工吊
亮了(0)
test 2017-03-14回复 45楼
hacked by 河蟹,居然没有加,差评
亮了(0)
元气少女 (1级) 元气少女 biubiubiu 2017-03-15回复 46楼
@ 12222222222222 你才是妇女 哦不 你是大妈
亮了(0)
京城四少排第五 (1级) 京城四少排第五,江湖人称龙哥 2017-03-20回复 47楼
很厉害
亮了(0)
lzxc011 (1级) 2017-08-20回复 48楼
个人信息在互联网大潮下居然无所遁形,赤裸出现,实在可怕
亮了(0)
RAMD (1级) 2017-09-05回复 49楼
好厉害的技术,第一第二步真心服了,很多时候就是小号QQ查不到信息就断了线索
亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
金乌实验室
金乌实验室认证作者
金乌网络安全实验室官方账号
6
文章数
0
评论数
最近文章
通过结构化异常处理绕过CFG
2017.04.06
浅析国内指纹识别技术(附带小工具)
2017.03.27
隐私泄露:查开房网站的背后
2017.03.07
浏览更多
相关阅读
追溯@潘石屹-潘总数次使用微博评论导致网友隐私泄露的根源功能软件的社交之殇隐私泄露、恶意软件泛滥,揭开7.24亿手机网民背后移动应用风险现状独家: iOS是如何收集用户的地理信息的揭秘仿冒应用的神秘面纱
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论