记录一次突破区块链交易所后台双因素认证

  • A+
所属分类:安全文章

记录一次突破区块链交易所后台双因素认证

PS:于2021年1月28日晚上九点首发,因为文章有个内容打码不严,而公众号不能修改图片,所以删除从新发送。顺便说一句,文章使用的代理工具为911,需要付费。


下载地址:

微信公众号回复:911     

获取下载链接!!!!!!


以下为原文:


最近做项目的时候,遇到一个区块链交易所,从渗透这块走估计挺难,所以花了不少时间,打入敌人内部获取了不少信息,通过观察发现几个疑似管理员,在微信群里深入交流之后,获取了不少电话和QQ账号。


记录一次突破区块链交易所后台双因素认证


给大家po一张手工写的一些重要信息,全部打码了,整整两张A4纸,请大家忽略我这一手的草书,谢谢!


记录一次突破区块链交易所后台双因素认证


这里重点讲如何突破的,在获取到信息之后,结合区块链网站信息,居然没有找到后台,在经过一段时间的排查,通过ICO图标找到了一个关联域名,很有意思的是,后台是个独立域名,和该区块链交易所的域名没有实质性的关联。


记录一次突破区块链交易所后台双因素认证


后台界面是这样的。


记录一次突破区块链交易所后台双因素认证


随便输入一个账户显示:


记录一次突破区块链交易所后台双因素认证


由此可以判断用户存在与否,后来试了各种用户名字典,都没有,在这里还有一点,爆破超过50次以后,所以发送的数据包都会失败,呜呜呜。。


记录一次突破区块链交易所后台双因素认证


于是猜测,管理员用户名应该是电话号码,经过后面测试,QQ邮箱也是用户名的登录范围。


记录一次突破区块链交易所后台双因素认证


对前面收集手机号,QQ邮箱等信息进行整理,顺带对QQ号的关联手机号进行查询,最后获取到了一组,手机号+邮箱的组合。


记录一次突破区块链交易所后台双因素认证


尝试登录,用户名存在后会显示:


记录一次突破区块链交易所后台双因素认证


经过尝试,QQ邮箱与手机号都可以登录该后台,但是,QQ邮箱需要邮箱验证码,手机号码需要谷歌验证码,注意,在这里,我通过社工,在历史密码中尝试出了登录密码。


记录一次突破区块链交易所后台双因素认证


谷歌验证码,这种双因素认证我是没办法了,除非去把他手机偷过来,所以,只能通过QQ邮箱验证码试试了,没办法,只能是智慧黑客,在线盗号了。


记录一次突破区块链交易所后台双因素认证


运气王就是这样,利用刚刚登陆后台的密码,在360极速浏览器尝试登录QQ邮箱,显示网络环境存在风险?不是密码错误吗?感觉是对的。


记录一次突破区块链交易所后台双因素认证


然后想到一个问题,异地登录不行,最后通过在线沟通,利用火绒剑,在微信弹语音的方式,获取了该人的登录IP,查看位置,显示在深圳。


记录一次突破区块链交易所后台双因素认证


好家伙,这还能有假?直接上个深圳的代理。


记录一次突破区块链交易所后台双因素认证


设置代理之后发现还是一样的,网络环境有问题,突然想到,可能是同浏览器的问题,于是呼,换了一个深圳的IP,换了一个谷歌浏览器登录邮箱,这次又不一样了。


记录一次突破区块链交易所后台双因素认证


手机号和QQ都关联上了,但是,你TM这不是在为难我胖虎?要逼我过去深圳偷手机才行么?


记录一次突破区块链交易所后台双因素认证


当然了,办法还是要想的,期间尝试了登陆QQ,但是需要手机扫描二维码,所以放弃,既然不行,那就在换个IP,在换个浏览器,直接拉入了EDGE浏览器。


记录一次突破区块链交易所后台双因素认证


瞧瞧这可爱的大宝贝,居然成功登录了。


记录一次突破区块链交易所后台双因素认证

最后顺手发送验证:


记录一次突破区块链交易所后台双因素认证



记录一次突破区块链交易所后台双因素认证



扫一扫关注下方二维码,关注我获取更多精彩!


记录一次突破区块链交易所后台双因素认证

记录一次突破区块链交易所后台双因素认证

------------------------------------

记录一次突破区块链交易所后台双因素认证

关注玄魂工作室--精彩不断

记录一次突破区块链交易所后台双因素认证

如果喜欢本文
欢迎 在看留言分享至朋友圈 三连

本文始发于微信公众号(玄魂工作室):记录一次突破区块链交易所后台双因素认证

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: