这几年盗号层出不穷,要么脱裤子,要么社工钓鱼。今天,我们就以之前的技术文章为铺垫,讲讲python账号盗号的原理(仅供学习,请勿用于违法犯罪)。知己知彼才能百战百胜。我们先不说脱裤子。无非是因为过滤不精确,或者数据库存储不安全导致的SQL注入。我们在本文中不谈这个。当然,如果大家有兴趣的话,我也可能会在下一篇文章中讲到。最简单、技术含量相对较低的黑客手段就是网络钓鱼(当然社工更考验心理)。除了钓鱼网站,就是发布一些诱人的工具,诱使消费者下载运行后打开后门,或者启用键盘记录的钩子。在这篇文章中,我们将谈谈技术的实现。环境拓扑:操作系统:windows7python版本:2.7.14主要库/模块:smtplib/pyHook/PIL/pythoncom等设计思路:1.启用Hook监听键盘(当然也可以监听鼠标坐标,这不属于本节课的重点)2.获取标题标签/标题内容(例如:新建一个文本文档)3.设置敏感标题(这个很重要,我们只需要记录具体的敏感标题,否则键盘值会从头记录那样就乱了)4.查找敏感标题(类似于QQ邮箱、微博、英雄联盟等网页标题)5.发现标题后记录,并在用户按下Enter或Tab键时发送屏幕截图功能/方法:.find()查找关键字time.strftime('%Y%m%d%H%M%S',time.localtime(time.time()))时间点ImageGrab.grab()screenshothm=pyHook.HookManager()创建hook注意:判断回车、空格、回车和deleteTab键可以参考ascii码表(键盘ascii对照表)来判断。完成初步思考后,我们开始编码。代码实现:usedlibrarymodule(usedclasslibrary)***部分:发送邮件部分(邮件发送代码)注:下面介绍截图功能,这只是流程的第二部分:设置按钮触发事件(按钮截图)(启动函数)以上都完成后,我们就可以测试了。下面我们打开网易邮箱测试一下效果吧~(Startup)这是启动效果。当然,你可以去掉这些调试提示。我只是想测试一下。使用,在CMD下运行,所以会有黑框显示,这个不是难事。我们打开网易163登录,下面是后台调试显示,这是我们程序的运行效果。(后台展示)来看看我们收到的邮箱:(***)好了,今天要说的就是这些了,小伙伴们,谢谢大家的支持!
