很刑啊!把全校学生信息都搞出来了! 警惕!电诈新手法“虚拟绑架”瞄准留学生 套路揭秘
很刑啊!把全校学生信息都搞出来了! 警惕!电诈新手法“虚拟绑架”瞄准留学生 套路揭秘,
下面给大家讲解“很刑啊!把全校学生信息都搞出来了! 警惕!电诈新手法“虚拟绑架”瞄准留学生 套路揭秘”的知识,本站信息仅供大家参考哦!
温馨提示:本文章素材来自网络收集整理和聚合(内容观点不代表本站的立场),本站只是一个免费信息分享网站,文章仅供阅读参考用途,如有侵权请联系邮箱:196594267@qq.com 核对后马上删除,谢谢!
很刑啊!把全校学生信息都搞出来了! 警惕!电诈新手法“虚拟绑架”瞄准留学生 套路揭秘,
很刑啊!把全校学生信息都搞出来了! 0x00 漏洞成因 事情的起因是这样的,在某一天我用谷歌做信息收集的时候:inurl:xxx.edu.cn pdf,突然查找到这样一份pdf文件,看完整个人都笑出了花,有位同学转专业,被学校调剂错了,然后被公示出来,学号和sfz都泄露了。 接着我就好心的找了一下他们学校的统一登陆的地方,发现初始登陆的密码是sfz的后六位。 直接登陆成功了,真是我的好兄弟啊。 0x01 漏洞发现 进入之后发现,只有日常事务这一个模块能登陆进去,先进去看看的。 进入之后测了很多地方,sql注入,文件上传之类的漏洞是统统没有啊,还有很多应用居然没有权限,但是她提醒我没有权限这一点,让我想到,会不会有未授权,但是抓包测试半天都没有成功。 但是好在天无绝人之路,我突然看到一个功能点,反馈这个功能点。 输入了一些内容之后,抓取数据包看了一下。 POST /api/apps/feedback HTTP/1.1Host: xxx.xxx.xxx:80Content-Length: 79Accept: application/json, text/plain, */*X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.41Content-Type: application/json;charset=UTF-8Origin: http://xxx.xxx.xxx:80Referer: http://xxx.xxx.xxx:80/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6,ko;q=0.5,zh-TW;q=0.4Cookie: sid=7e670c0c-9529-4a1b-87b6-6c6aec4edbc1Connection: close{"jybh":"d997E5ee-17B6-6C9A-13c1-83EAFE09F831","bt":"1","yddh":"11","jynr":"1"} 是这样一个数据包,也没有注入点之类的,感觉没啥东西啊,想着就把/api/apps/feedback这个直接拼接到url上看看,因为看到api就会让人想到信息泄露之类的。拼接上去之后,告诉我缺少pageNum这个参数,我把这个参数拼接上去。 结果又告诉我缺少pageSize这个参数。 全部拼接上去之后发现,是一条学生的信息。 改变这个pageNum和pageSize后面数字的大小可以看到更多信息,但是只有几个学生有反馈问题,得到的信息泄露少之又少,就只要这么一点点,够谁吃啊,再来一罐,一人一罐(刘德华bushi)。 0x02 漏洞深挖 虽然说挖到这样一个漏洞,但是毫无作用啊,感觉到有些挫败的时候,突然想到,这个信息泄露肯定是整个系统的问题,找一个学生信息多的地方,拼接url,看看能不能泄露的更多。 直接找到个人信息这一块,编辑然后抓包看一下。 观察一下我抓到的这个数据包,首先我想到上面拼接语句的时候,是直接url发送数据的,所以请求方法应该是GET,并且我之前请求的时候是没有body这个部分的,所以body也要删除,然后拼接上pageNum和pageSize这两个参数。 Content-Length: 748Accept: application/json, text/plain, */*X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36 Edg/110.0.1587.41Content-Type: application/json;charset=UTF-8Origin: http://xxx.xxx.xxx:80Referer: http://xxx.xxx.xxx:80/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6,ko;q=0.5,zh-TW;q=0.4Cookie: sid=7e670c0c-9529-4a1b-87b6-6c6aec4edbc1Connection: close{"yhbh":"xxxxxxxxxxxx","xm":"xxx","nc":"1","zt":"0","pxh":0,"yddh":"189xxxxxxx","dzyx":"xxxxxxxxxxxx","qq":null,"wechatUnion":null,"wechatOpenid":null,"salt":"test","xbm":"1","yhlx":"0","tx":"xxxxxxxxxxxx_avatar","pf":"defaultSkin","bmmc":"19xx1","bmbh":"xxxxxxxxxxxx","jzbmbh":[],"yhjs":["XS"],"positionIds":null,"userLog":{"bh":"7d83f326-7cee-4ad4-b242-17faef9fdc90","yhbh":"xxxxxxxxxxxx","dlsj":"2023-02-12 23:12:40","tcsj":"2023-02-13 11:22:25","khdczxt":"Windows","khdllq":"Chrome-110.0.0.0","khdipdz":"117.92.247.178","khdlx":"PC"},"gwbh":[],"gwmc":[],"sfzjh":null,"personalSkin":null,"personalSkinThum":null,"value":null,"id":"xxxxxxxxxxxx","nickname":"1","phone":"18xxxxxx","email":"20xxxxxxxxxxxx4@xxx.edu.cn"} 但是我修改后发现请求失败了,告诉我没有权限。 感觉好像还是有地方差点意思,发现直接语句的后面只拼接了三个目录,那我尝试也只拼接三个目录试试呢。 终于这一次出现了别的学生信息,这里的话可能是五层目录没有权限,但是三层目录有权限,导致了信息泄露。 然后我修改pageNum和pageSize这两个参数的大小,结果测试后pageNum=1,2,3,4,5和pageSize=1000的时候,分别泄露不同的一千个人的信息,pageNum后面的数字超过5之后,就没有信息了(这个学校的学生可能就这么多了)。并且pageSize后面的数值太大会造成超时。 所以我成功获取了全校四千多名学生的姓名、班级、学号、邮箱、sfz等信息(厚码码死谢谢) 最后提交edusrc,做一个守法公民。 0x03 漏洞总结 1、肯定还是要做好信息收集,有的时候获得了账号比没有账号好出漏洞。 2、挖漏洞的时候一定要坚持住,这套系统我来回测了好几遍才出来这个漏洞,有的时候坚持也很重要。 3、看到有api的时候,就尝试去拼接一下,很多时候就会出现一些其他功能点,或者信息的泄漏。 孩子按照犯罪分子设计的剧本,配合对方演戏,一步步地跟父母沟通。警察说这是一起电诈案件,家属从头至尾不相信,他们觉得是绑架。演戏、电诈、绑架,这几个关键词究竟有什么联系?来看一种新型电信网络诈骗手法——“虚拟绑架”。 留学生在海外遭遇“绑架”? 家长紧急报警 究竟什么是“虚拟绑架”?它到底是绑架还是诈骗? 2023年10月10日下午,上海市公安局静安分局临汾路派出所接到辖区群众王先生报警称,自己在日本留学的孩子小王遭到绑架,绑匪向其索要赎金130万元。 王先生说,当天中午,所谓的绑匪使用女儿小王的微信账号给孩子母亲张女士发来信息称,孩子在他们手里,让张女士尽快筹钱。张女士想进一步证实女儿是否真的在对方手里,问了几个具体的问题。 然而,面对张女士的提问,对方不仅实时给出了准确的答案,还给张女士发来了孩子被绑架的照片。这让张女士确信,孩子是真的被绑架了。 发现“绑架”照片蹊跷 多方寻找失踪留学生 接到报警后,警方组织了多个警种部门来甄别案件性质。在梳理了小王的母亲跟所谓绑匪的微信聊天记录后,图像专家对对方发来的所谓绑架照片进行分析,从中发现了蹊跷。 上海市公安局静安分局临汾路派出所民警 董皓:从它的背景的环境,包括阴影产生的部分,然后进行了分析,发觉照片有很大的合成的可能性,或者说修图的可能性。然后从这一点来判断,有可能是遇到了诈骗。 上海市公安局静安分局副局长 周海峰:家属不相信,从头至尾不相信,我们警察说是一起电诈案件,他们觉得是绑架。 民警在稳定小王父母情绪的同时,也第一时间联系了中国驻日本大使馆和日本警方,协同查找小王的踪迹。 小王在日本的老师向当地警方提供了小王的相关信息,当天晚上11点多,日本警方通过技术定位,在日本东京都府中县某一店,找到了独自一人在房间内的小王。 上海市公安局静安分局刑侦支队民警 邬晓方:找到女孩的时候,其实她神情还是有些恍惚的,在整个过程当中还没有醒悟。然后就是日本警方当时找到她之后,包括老师,然后再通过视频和她父母和我们这边的警方就是做了一些心理建设,她才醒悟过来。 被诈骗分子“洗脑” 留学生伪造“绑架” 找到小王后,大家悬着的心终于落了地。小王究竟经历了什么?她为何会独自留在店房间?小王在随后与父母和民警的交流中,讲述了她这两天的遭遇。 根据小王回忆,在父母收到所谓绑匪信息的两天前,她接到自称是中国驻日大使馆的电话,告知其涉及一起信用卡诈骗,需要配合上海警方调查。 上海市公安局静安分局临汾路派出所民警 董皓:如果她不配合的话,还会危及她在上海父母的安危,对方给女孩子进行深度洗脑,女孩子听信了他们的这些花言巧语,按照犯罪分子设计的那种剧本,一步步地跟父母沟通,配合对方演这出戏。 为了确保上海父母和自己的平安,小王根据指示下载了一个境外聊天软件,与所谓的上海警方进行联系,并主动配合发送伪装的“绑架”照片。随后,她在对方指示下,在网上订了一间店并自行前往,进一步伪造自己被绑架失踪的情况。 上海市公安局静安分局临汾路派出所民警 董皓:她会用境外的聊天软件实时跟诈骗分子保持通话,然后就听着等于像开免提一样,她母亲问诈骗分子这些问题,她也知道,她同时就用境外聊天软件上面文字形式回复给诈骗分子。那么诈骗的嫌疑人也能知道,马上就在电话那端告诉母亲,所以说让她父母也深深地相信这个情况。 在了解事情始末后,小王的父母决定尽快赶往日本,临行前,民警也再次对其父母进行了反诈宣传。 冒充“公检法”升级版 对学生和家长双向诈骗 警方介绍,2023年以来,“虚拟绑架”类诈骗在多地时有发生,并且发案率呈上升趋势。这类诈骗是传统冒充“公检法”诈骗的升级版,它是利用了海外留学生和家长远隔万里沟通不畅的现实情况,对学生和家长实施双向诈骗。此前,公安部刑事侦查局曾对此发布专门提示,详细解读了这种新型电信网络诈骗手法。 据介绍,在“虚拟绑架”诈骗中,诈骗分子会首先冒充公检法机关、使馆、海关等工作人员与留学生联系,以涉嫌洗钱、偷渡、走私等犯罪要对其进行调查,并出示伪造的通缉令、逮捕证,声称如不配合将会被抓捕、驱逐出境、判处重刑,以此来恐吓受害人。 公安部刑事侦查局打击新型网络犯罪指导处副处长 胡志伟:他们在国外可能利用一些改号软件,把你通话显示的电话标记为一些比方说使领馆的电话,或者是其他的一些电话,以此来迷惑受害人,骗取受害人的信任。 取得受害人信任后,诈骗分子会强调案件涉密不得告诉其他任何人,要求切断手机、微信等与外界的一切联系。让受害人下载指定软件配合办案,汇报个人资料和行踪,让其一直处于精神高压状态。 公安部刑事侦查局打击新型网络犯罪指导处副处长 胡志伟:然后诈骗分子命令受害人前往宾馆甚至是第三方国家,在宾馆或者是隐蔽的地方来拍摄自己被绑架的这种图片或者视频。接着诈骗分子就会以绑匪的身份联系其家长,利用受害人自己拍摄被绑架的视频和图片来要挟家长支付巨额的赎金,由于这个时候学生在骗子的威逼利诱下处于失联状态,家长一时联系不上,无法确认孩子的真实状态,以致相信这是真实的绑架。 警方提醒: 切勿轻信可疑电话或转账汇款 公安部提醒海外留学生,如果接到声称“涉嫌犯罪”、要求“协助调查”等可疑电话,千万不要轻易相信。可以及时联系学校或者同学,甚至警方来寻求帮助,同时要及时与家里人进行联系,告知相关的这些情况。 留学生家长如果接到可疑电话声称子女被绑架,应当立即报警,千万不要轻易转账汇款。此外,警方提醒留学生以及家长,一定要多学习法律法规,包括反诈的一些知识,要了解国内公检法机关一些办案的常识。 警方提示:公检法机关绝不会通过电话或者是社交软件来进行办案,更不会有所谓的安全账户让你汇款转账。 (总台央视记者 陈昱 聂继承 郑瑞) 发布于:北京
警惕!电诈新手法“虚拟绑架”瞄准留学生 套路揭秘