黑客微信攻击平台-第三章(社工库)

  • A+
所属分类:安全文章

版权声明:

本文首发于微信号:inn0team

此文章版权归属于inn0team所有,转载请自觉保留以上版权声明

告知:

本公众号不提供非法用途,所以有些攻击手段,公众号内将会有诸多限制。如果想打造真正没有限制的攻击平台,请自申请公众号。源代码将会在下几章发布到github

目标:

  •  短信攻击

  •  社工库

  •  端口扫描

  • 网站扫描

  • IP定位

  • MD5破解

  • xss平台

  • …… (有什么需要添加的,请留言)

  • (透露下,如果没有意外可能会加入手机号定位功能

关于代码:

本套代码,将会在github 开源(采用 MIT 许可协议,可放心集成于商业产品中)。

开始打造

目录:

* 代表此次修改文件
|-- run.py #启动文件
|-- wechat #微信配置目录
|---- __init__.py
|---- wechatConfig.py #微信配置验证,模块加载接口 *
|---- mode #模块目录
|------ __init__.py
|------ scanPort.py #端口扫描模块
|------ sendSMS.py #短信攻击模块
|------ queryData.py #社工库 *

wechatConfig.py

#! /usr/bin/python
# -*- coding: utf-8 -*-
from flask import make_response
import hashlib
from mode import scanPort,sendSMS,queryData

def wechat_auth(token,data):
   signature = data.get('signature','')
   timestamp = data.get('timestamp','')
   nonce = data.get('nonce','')
   echostr = data.get('echostr','')
   s = [timestamp,nonce,token]
   s.sort()
   s = ''.join(s)
   if (hashlib.sha1(s).hexdigest() == signature):
       return make_response(echostr)

def wechat_mode(content):
   if content==u"攻击":
       return "G1:端口扫描nG2:短信攻击nG3:社工库nn攻击格式:编号&目标n列如:G1&127.0.0.1n列如:G2&188****1111n列如:G3&mail(QQ|mail|phone):[email protected]"
   elif  "G1&" in content:
       arr=content.split('&')
       return "你扫描的IP端口为:"+str(scanPort.init(arr[1]))
   elif  "G2&" in content:
       arr=content.split('&')
       return "系统提示:"+str(sendSMS.sendSMS(arr[1]))
   elif  "G3&"in content:
       arr=content.split('&')
       arrss=''
       if "QQ:" in arr[1]:
           arrs=arr[1].split(':')
           arrss=arrs[1]
       elif "mail"in arr[1]:
           arrs=arr[1].split(':')
           arrss=arrs[1]
       elif "phone" in arr[1]:
           arrs=arr[1].split(':')
           arrss=arrs[1]

       return "你的丢失数据有:"+str(queryData.queryData(arrss))
   else:
       return "感谢你的留言!"

queryData.py:

#! /usr/bin/python
# -*- coding: utf-8 -*-
import urllib2
import urllib
import lxml.html
import sys

reload(sys)
sys.setdefaultencoding( "utf-8" )

def init(email):
   data = {}
   data['search'] = email
   data['vip'] = 1
   data['Bkeys'] = 'd26ac15646a0513e36f19c5a053660e2'
   data['Atokens'] = '250b0cd46ca9d483726035e1fc7536e9'
   #定义post的地址
   url = 'http://www.sheyuns.com/ajax/ajax.php'
   post_data = urllib.urlencode(data)
   #提交,发送数据
   try:
       request = urllib2.Request(url)
       request.add_header('Accept', '*/*')
       request.add_header('Accept-Language', 'zh-CN,zh;q=0.8')
       request.add_header('Connection', 'keep-alive')
       request.add_header('Content-Length', '112')
       request.add_header('Content-Type', 'application/x-www-form-urlencoded; charset=UTF-8')
       request.add_header('Cookie', '__cfduid=d650c8d4c1e38ab68006b5c0cf11056881456913233; yunsuo_session_verify=5ddc8d1822ee97207d314be51482706f; PHPSESSID=nnb3lct30v12p555eltlgq0an7; CNZZDATA1256243452=1877644279-1456910436-%7C1456910436')
       request.add_header('Host', 'www.sheyuns.com')
       request.add_header('Origin', 'http://www.sheyuns.com')
       request.add_header('Referer', 'http://www.sheyuns.com/')
       request.add_header('User-Agent', 'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36')
       request.add_header('X-Requested-With', 'XMLHttpRequest')
       req = urllib2.urlopen(request, post_data)
       html=req.read()
       url = lxml.html.fromstring(html)
       result = url.xpath('//td')
       resultList=[]
       for r in result:
               isType=r.text
               if isType=='None':
                   print 1
               elif isType=='[SheYun-WSD]':
                   print 1
               elif isType=='[AD]':
                   print 1
               elif isType is None:
                   print 1
               else:
                   print resultList.append(isType)
       return resultList
   except:
       print '异常'
   #获取提交后返回的信息
   #print req.read()

def queryData(data):
   result=init(data)
   info=''
   for r in result:
       info+=r+'n'
   return info

启动项目:

python run.py 

测试截图 因为服务器问题,此功能暂不开放

黑客微信攻击平台-第三章(社工库)

黑客微信攻击平台-第三章(社工库)

inn0team只是一个正在成长的小的安全团队
微信号:inn0team
黑客微信攻击平台-第三章(社工库)
长按便可关注我们


本文始发于微信公众号(inn0team):黑客微信攻击平台-第三章(社工库)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: