查开房网站

隐私泄露:查开房网站的背后

2017-03-071679450人围观 ,发现 54 个不明物体特别企划资讯

*原创作者:Mars@金乌网络安全实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载 

0×00前言

随着网络的发展,个人信息泄露情况不断升级,个人信息在“黑市”的贩卖日益猖獗。网络中早已公然兜售酒店开房等信息,而这些信息仅可在少数渠道才可获得,准确度之高令人触目惊心。

0×01起因

美(pao)酒(huo)佳(lian)人(tian)的2月14刚刚过完,金乌实验室的小伙伴们近日注意到“查开房”等关键词的搜索热度迅速飙升。通过百度搜索发现,很多网站都在提供查询开房信息和手机定位等隐私查询服务。经调查发现,从开房记录流出到出售再到推广网站,已经成为一条成熟的产业链,本文为针对查开房网站背后作者的一次追溯。

0×02正文

通过多个网站上提供的不同QQ号码,我们联系到了几个查开房服务的提供者。查询分全国或省市,标价不同,简单的聊了几句,没得到有用的信息,只得到了支付账户。这些支付宝实名信息是松原市的一家企业,虽然邮箱不同但是认证信息一致,初步判断是同一伙人制作。

1.png

2.png

3.png

4.png

0×03信息收集

由于众多QQ均为新号,无法通过QQ得到需要的信息。既然查开房网站可能是同一伙人制作,那我们就从网站作为突破口。

1. 通过搜索引擎,whois信息收集,旁站查询等方法收集整理如下域名:

5.png

2. 通过Web取证到更多可用信息

网站大致有三种模板,都是asp编写,都存在SQL Injection漏洞,后台可以getshell,大部分网站为站库分离,分离的网站均外连到同一台mssql服务器(IP:117.18.**.***)。数据内容为之前泄露的2000W(1.7G)开房数据,至此我们更加确定这些网站的制作肯定为一伙人所为。

6.png

7.png

通过查看这些网站里配置文件中的发信配置,均指向一个邮箱poi*******@163.com,密码为:8401******。

8.png

0×04社工

1、登陆该邮箱得到以下信息:

邮箱昵称:青青

9.png

通过信箱中某备案系统给其发送的邮件,得知该邮箱下有一备案信息,指向公司为中山柏高清洁剂企业有限公司。

10.png

邮件中我们发现邮箱po******@163.com,根据命名规则,我们推测这个邮箱为作者另一个邮箱,发件人为叶卫权。

11.png

12.png

附件中都是些非法网站的源码,看来作者不只是做查开房站点。

13.png

在邮件中我们得到123******和851*****两个企鹅号及企鹅邮箱po****@qq.com。

14.png

15.png

16.png

通过邮箱常用登陆地址查询,可知作者应是广东人。

17.png

手机号:134*****297

18.png

和一些常用的昵称,用户名:青青,poisonlv。

19.png

20.png

2、社交信息

通过收集到的常用用户名搜索社交账户,整理后得到如下信息:

百度贴吧ID:poisonlv,广东江门人,女友叫徐蕾,曾运营的网站:

http://www.dawang****ware.com

http://www.bia****yc.com

21.png

通过百度知道,我们得知以下信息:

QQ851***09

QQ815***9

邮箱:

Poiso***v@163.com

贡献词条:

中山柏高清洁剂企业有限公司

22.png

23.png

24.png

25.png

26.png

0×05水落石出

搜索得到的QQ可以确认为同一人,并得知:

手机号:134*****297,邮箱:pois***v@qq.com,姓名:叶卫青,曾用名:叶卫权,住址:广东省江门市江海区。

27.png

通过群关系搜索另一个QQ群,得知作者曾就读广州大学纺织学院01计算机系。

28.png

29.png

通过社工库及常用密码得到部分社交应用信息,得知该作者女友名字叫徐蕾,与之前贴吧得到的信息一致。

30.png

通过上面收集到的用户名、邮箱、手机号搜索微信,搜索结果为同一微信号,可以确定上面得到信息的准确性。

31.png

支付宝实名再次认证了前面推测的准确性。

32.jpg

0×06总结

到这里整个追溯过程就结束了,本想把Web环节写的详细些,最后还是略掉了。梳理一下整个过程及思路,最后附上张简单的逻辑图。

33.png

0×07写在最后

希望作者能尽快关闭网站,不再继续泄露个人隐私。隐私保护问题还是要从根源解决,建议有关部门及时从销售渠道端追查非法交易,遏制“黑产”泛滥。

同学们如果有兴趣深入交流,可联系金乌实验室,联系方式:jinwu@jinwulab.com

*原创作者:Mars@金乌网络安全实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载 

这些评论亮了

  • aaaa回复
    好不容易搞了一套个人信息搞点事情,这样一来,又要换一套信息了 😉
    )12(亮了
  • Ezio回复
    只有我想知道作者QQ是用的什么插件吗?
    )10(亮了
  • 元气少女(1级)元气少女 biubiubiu回复
    一定要将这些坏人绳之以法 (¬︿̫̿¬☆)
    )9(亮了
  • 内部名字:《绝密!管好你的另一伴,这些网站千万不能看》
    )8(亮了
  • 社工还是无敌啊
    )6(亮了
发表评论

已有 54 条评论

  • 元气少女 (1级)元气少女 biubiubiu 2017-03-07回复1楼

    一定要将这些坏人绳之以法 (¬︿̫̿¬☆)

    亮了(9)
    • 12222222222222 2017-03-09回复

      @ 元气少女  妇女?

      亮了(0)
  • 放开那个大婶 (2级) 2017-03-07回复2楼

    社工还是无敌啊

    亮了(6)
  • 大橙子不是黑客 (1级)这家伙太懒了——-恩恩,是啊! 2017-03-07回复3楼

    金乌社工好屌

    亮了(5)
  • 金乌g0v (1级) 2017-03-07回复4楼

    内部名字:《绝密!管好你的另一伴,这些网站千万不能看》

    亮了(8)
  • just4role (2级)“>alert(111) 2017-03-07回复5楼

    :sad: 这应该只是这其中的一个。。

    亮了(6)
  • zan 2017-03-07回复6楼

    不错,就喜欢此类溯源的文章

    亮了(4)
  • dalao大屌 2017-03-07回复7楼

    以社工之道还治社工之身。

    亮了(6)
  •  2017-03-07回复8楼

    没本事不要做违法的事啊

    亮了(3)
  • 白云飞 2017-03-07回复9楼

    哇塞,你们好叼啊,佩服佩服

    亮了(4)
    • iTroy (1级) 2017-03-07回复

      @ 白云飞 hello 知道我是谁吧

      亮了(0)
  • aaaa 2017-03-07回复10楼

    好不容易搞了一套个人信息搞点事情,这样一来,又要换一套信息了 :wink:

    亮了(12)
    • 12222222222222 2017-03-07回复

      @ aaaa 反社工

      亮了(4)
  • 赵小胖 2017-03-07回复11楼

    厉害厉害~~ 社工就是牛 什么都能弄出来 看来个人信息不能随便泄露了 :evil: :evil:

    亮了(2)
  • 白骨夫人 (3级) 2017-03-07回复12楼

    好666666啊

    亮了(4)
  • Dream__ZH (1级) 2017-03-07回复13楼

    码打的诚意满满

    亮了(5)
  • NOL4rb (2级)梦里花落知多少 2017-03-07回复14楼

    又是一次SQL引发的血案。。

    亮了(4)
  • taylorwin (6级) 2017-03-07回复15楼

    能干出,和那些内鬼合作,那就牛了。

    亮了(4)
  • Ezio 2017-03-07回复16楼

    只有我想知道作者QQ是用的什么插件吗?

    亮了(10)
  • incstrive (1级) 2017-03-07回复17楼

    厉害了,这溯源。。

    亮了(3)
  • fggg 2017-03-07回复18楼

    :mrgreen: 开门,查水表

    亮了(4)
  • 河蟹 2017-03-07回复19楼

    炮火连天? :mrgreen:

    亮了(5)
  • LK的世界 (1级) 2017-03-07回复20楼

    虽然知道做伸手党不好,但是还是想要作者用的qq :shock:

    亮了(5)
  • 咖啡加糖不加咖啡 2017-03-07回复21楼

    [doge]Mark

    亮了(4)
  • ss 2017-03-07回复22楼

    :mrgreen:

    亮了(4)
  • 后羿 2017-03-07回复23楼

    金乌金乌我是后羿

    亮了(3)
  • jiyulin (1级)一个会修点电脑的程序员! 2017-03-07回复24楼

    我的个神啊。。。。。
    骗子遇到白帽子,不得哭死

    亮了(4)
  • 带头大哥 2017-03-07回复25楼

    求Web取证细节啊 :lol:

    亮了(1)
  • Riki0 (1级) 2017-03-07回复26楼

    只求最后的思维导图是哪个app

    亮了(0)
  • softbug (7级)i am here! 2017-03-07回复27楼

    金乌这个文章,点赞!越来越好!

    亮了(0)
  •  2017-03-07回复28楼

    如果那些邮件被删除了还能查出来么

    亮了(0)
  • an_time (3级) 2017-03-08回复29楼

    很详细

    亮了(0)
  • xxxxxx 2017-03-08回复30楼

    一个注入引发的血案

    亮了(1)
  • 猫小侠 (1级)这家伙太懒了,还每天都要好心情! 2017-03-08回复31楼

    求Web取证细节啊

    亮了(0)
  • freebuf 2017-03-08回复32楼

    查社工库跟人家查开房有啥区别?

    亮了(5)
  • CodeManCN (1级) 2017-03-08回复33楼

    python sqlmap.py -u “http://2000wckf.com/index.asp?keyword=” –dbs

    亮了(5)
  • M4rs (1级) 2017-03-08回复34楼

    QQ用的NtrQQ 插件 :smile:

    亮了(2)
  • M4rs (1级) 2017-03-08回复35楼

    思维导图软件很多,如果觉得软件繁琐可以用在线的也不错 https://www.processon.com/

    亮了(1)
  • 乌云核心黑帽子 2017-03-08回复36楼

    我猜社工邮箱其实是用的腾讯邮箱的xss撸下的。

    亮了(3)
  • 464 2017-03-08回复37楼

    @ Ezio NtrQQ

    亮了(1)
  • 乐享客服anna (1级) 2017-03-08回复38楼

    我没看完,马不停蹄的先滑到下面来跪拜一下再继续看!!!!!!

    亮了(0)
  • D14tr0y (4级) 2017-03-09回复39楼

    苍海工具不是用不了了嘛?????还有群关系在哪里查 很多都关了自己搭建??

    亮了(0)
  • 隔壁老陈 (1级) 2017-03-09回复40楼

    查开房网站,是不是被你们给搞坏了,昨天还好好的!

    亮了(1)
  • 金乌实验室 2017-03-09回复41楼

    团队第三篇文章,内部名字:《绝密!管好你的另一伴,这些网站千万不能看》

    亮了(2)
  • 姬神龚 2017-03-10回复42楼

    眼花缭乱,叹为观止

    亮了(0)
  • HELEN 2017-03-12回复43楼

    这是个什么实验室?

    亮了(0)
  • ohmysunshine (1级) 2017-03-13回复44楼

    社工吊

    亮了(0)
  • test 2017-03-14回复45楼

    hacked by 河蟹,居然没有加,差评

    亮了(0)
  • 元气少女 (1级)元气少女 biubiubiu 2017-03-15回复46楼

    @ 12222222222222 你才是妇女 哦不 你是大妈

    亮了(0)
  • 京城四少排第五 (1级)京城四少排第五,江湖人称龙哥 2017-03-20回复47楼

    很厉害

    亮了(0)
  • lzxc011 (1级) 2017-08-20回复48楼

    个人信息在互联网大潮下居然无所遁形,赤裸出现,实在可怕

    亮了(0)
  • RAMD (1级) 2017-09-05回复49楼

    好厉害的技术,第一第二步真心服了,很多时候就是小号QQ查不到信息就断了线索

    亮了(0)
表情插图

取消

css.php

Leave a Reply