2014-2015年兴起的社工库,诸如Findmima、594sgk(我就是社工库)、97bug等等
2017年9月Findmima.com的推特发布了正式停止运营的通知。
关于网络信息安全,暴露于网络的账号密码等个人真实信息在2015年以后遭到了大面积封杀。当前国内基本已经没有公开且好用的社工库网站了。
Haveibeenpwned
目前还能对自己账号及密码进行查询是否泄漏的网站还有:https://haveibeenpwned.com
1.使用邮箱查询
可以查询曾使用该邮箱注册过的网站是否有数据泄漏的情况。我也查了下自己的,有6条记录。
2.使用密码查询
建议输入曾经使用过的密码(旧密码),在password页面查询,该网站会对输入的密码进行加密,加密方式为SHA-1,然后再与数据库中的SHA-1的数据进行匹配。网站也公开了被暴露密码的SHA-1的值,以及暴露的次数(可以下载,见下图),到目前已经有5.5亿条密码被暴露。
如果下载,可以按密码流行程度下载,也可以按密码的SHA-1的排序。下载下来的密码是经过加密的SHA-1值,不能解。
我按流行程度下载了下来。可以看到最流行密码的SHA-1值为:7c4a8d09ca3762af61e59520943dc26494f8941b,这是123456密码的SHA-1加密下的密文。果然一猜便中。
大型TXT文件内容查找工具
由于要打开11GB的TXT文件,普通的打开方式是不行的,会死机。网上打开方法比较多,比如:文本分割器。这个不太好用,不太建议。原因有二:
第一,由于在电脑不卡顿的情况下,一般设置每个分割后的每个TXT文件大约为300k左右,那么把11G的文件分割成平均300k的文件后,生成的数量会非常的多。
第二,由于是按容量大小进行分割,所有文字截断会出现问题,原本一条数据会被截成两段在1.txt的文末和2.txt里文头。
在这里推荐大家啊一款软件,【EmEditor】。
这款软件可以把文本内容一点点读取,然后一点一点呈现。11GB的TXT文件全部呈现也确实要好一会。不过没关系,我们可以从文件头部开始浏览。
从Haveibeenpwned下载到11GB的密码SHA-1密文后,关于SHA-1的解密以及其他加密方式的解密,这里又要说到另一款软件——Hashcat,hashcat是非常强大的开源的密码破译软件,号称世界上最快的密码破解软件。配合强大的字典,可以破译超过百分之九十的密码。这里就不做展开了。
官网传送门:http://www.hashcat.net
数据泄漏实例——12306
除了论坛、社交平台、游戏平台以外,12306也不止一次泄漏数据。
2014年,最开始暴露的数据是13w,应该是保守数据。12306官网马上出来解释都是第三方抢票APP的锅,甩锅还真是快。360,猎豹等抢票软件纷纷躺枪。后来查明了原因,是由于密码和其他网站的撞库了。见下图:
2018年,在暗网(暗黑网络)兜售的12306泄漏(见下图)数据,有400w数据,这个和撞库应该没有联系了。但是12306仍然甩锅,说是第三方软件导致。
实际应用
在网上搜寻了大量已泄漏的数据库作为研究对象。
比如:网易、人人网、7K7K、178、嘟嘟牛、天涯、猫扑、qq等等。加起来大约50多GB,还在新增中。
这些库大多是老库,纯粹是学术研究使用。
说干就干,我用了我弟弟的QQ邮箱,先在Haveibeenpwned使用邮箱查找到曾被嘟嘟牛数据泄漏过,然后在已经下载下来的嘟嘟牛库中搜寻该邮箱。不到几秒钟账号密码就被高亮选中。不过万幸的是这个库已经很久远,密码也已经是很旧的密码了。
看看我的密码被盗没有?