大家好,小乐来为大家解答以上问题,标准日本语,标准哥很多人还不知道,现在让我们一起来看看吧!
1、[PConline资讯]还记得南大三学生从电话拨号音中破译奇虎360 CEO周手机号码的事吗?他最近发表的文章《如何通过入侵老师邮箱拿到期末考卷和修改成绩》又让他生气了。当然,间接打破学校邮箱系统的不安全可能会让学校和领导付出代价,但目前为止学校还没有公开回应此事。
2、在如何破解老师邮件的文章中,刘靖康简单介绍了如何通过学校邮件系统的漏洞获取账号密码。当然,修改结果只是一个猜测,但没有得到证实。刘靖康还强调,他没有打开任何试卷,只是为了证明学校的电子邮件系统不安全。
3、在观看技术人员如何改变大学生活之前,让我们回顾一下刘靖康的杰作。
4、2012年7月《平均形象》制作获“标准哥”
5、他轻而易举地下载了全校7000多名学生的照片,提取出学生证照片的轮廓,然后进行平均,填入平均肤色。他给全校30个系的学生做了“平均图像”,男一个,女一个。照片都是人头像,和注册照片差不多。人像一般很美,但是照片边缘有点模糊。网友评论哪个大学女生最漂亮,最后的结果是外国语学院。因此,他被命名为"标准哥"。
6、2012年9月,听辨号被授予“技术帝”称号
7、(点击阅读相关报道《从按键音中听出360总裁周鸿祎的手机号码》)
8、通过一段采访视频,他获得了记者拨通360总裁周手机时的拨号音。然后用软件把拨号音转换成频谱,再用软件把拨号音放大,这样他就得到手机号,和周通了电话。创新工场董事长兼CEO李开复通过微博喊话:“来创新工场吧,这位同学!我有一个合适的项目供你考虑。”因此被授予“科技皇帝”的称号。
9、让我们再看一遍他的同龄人的杰作。
10、美国14岁天才黑客,20岁成为中情局特工。
11、37岁的美国男子科斯塔13岁时就是一名IT顾问。14岁时,他因犯下45项科技盗窃罪(包括侵入美国多家银行、通用电气公司和IBM公司的网络系统,窃取机密信息),被判以“成年人”身份入狱45年。一年后,我幸运地获得了缓刑。科斯塔18岁时被分配到美国海军情报部门,成为一名情报分析员。20岁时,他被分配到中央情报局,成为一名特工。当时他负责追踪北非军阀和中东激进部落首领的电汇线索。除此之外,他还要和一些IT团队一起从外界窃取有用的数据。
12、以下是《如何通过入侵老师邮箱拿到期末考卷和修改成绩》的转载。
13、先声明==,这个漏洞是无意中发现的。我只是验证了可行,但最后也没做什么坏事,不然被发现就要被退学了=。=
14、另外,很多高校的邮箱系统都有这样的漏洞(因为我感觉以前的邮箱系统都没有用框架开发==)。欢迎其他学校的同学实践验证,但不要做坏事==来了=。=
15、一般来说,学院是一个相对独立的机构,我们的试卷是由任课老师提出,然后送到学院的教务人员那里打印,最后送到我们这里。怎么发==,我觉得u盘QQ不是很普及,也不好管理。猜测是邮件发的,所以我们的目标是登录教务人员的邮箱,获取试题;
16、我们院的教务人员有两个邮箱,jw**@software.nju.edu.cn和gao*ian@software.nju.edu.cn(不是全部,但是软院的同学都知道==)
17、一般来说,你需要一个密码登录,但SQL注入是在我的第一年。现在网站被视觉过滤掉了。我们需要利用cookie,因为服务器除了密码还识别这个东西,我们可以在浏览器上伪造这个东西。我在我们学院的电子邮件系统中通过chrome获得cookie如下:
18、图1
19、观察上面的cookie,就知道这个东西不容易伪造,因为里面含有令牌;由服务器自身生成;所以我们又要换个思路了:让教务人员把他们的cookie通过js寄回给我们;
20、一般来说,学校邮箱的邮件都是支持html的,甚至在页面上提供了编辑html代码的功能(如果没有,可以通过chrome修改邮件的html内容,或者自己使用socket向邮件服务器写邮件)。但是像《s*c*r*i*p*t》这样的标签一般在后台会被过滤掉,但是元素标签的事件中的代码往往会被忽略。以前大家都是过滤不好的xss。以下是我发给教务人员的邮件:
21、图2
22、上面那段带有大家表情的代码就是这样植入的,意思是从室友的服务器上拉一段我写的代码,然后植入到当前页面执行。而且那个代码的内容就不详细描述了,就是获取document.cookie然后转义。ajax转到另一个php脚本,并将其保存到数据库。但是要注意的是,浏览器关闭的时候或者过了一段时间之后,cookie就会失效,所以当我们收到cookie的时候,就得马上动刀,所以我用脚本自动把这个cookie转发到我的QQ邮箱。虽然我们平时不用QQ邮箱,但是它可以直接通过微信提示,还是很有用的。
图3
24、 今天早上我特意早起,登教务员打开邮件,但是他们不怎么勤快,直到我中午吃完饭才打开
图4
26、 我给cookie加上些东西变成了代码(因为动作要快==),打开院邮,在chrome的console里输入就登进教务员的邮箱了=。=
图5
28、 软件学院的同学你们都知道这个人是谁=。= ,剩下的事情好办了,在邮件搜索“卷”,就全出来了
图6
图7
终
本文讲解到此结束,希望对大家有所帮助。