sfz号爆破学习
sfz号爆破学习
身份证号暴力爆破实战学习:从信息泄露到突破登录的完整路径
看见一个师傅对sfz的爆破,倒是很感兴趣的
思路
攻击流程概述:
- 找到一个仅靠sfz即可登录的系统
- 信息收集找到sfz,但是sfz进行了脱敏处理
- 鉴于没有的次数的限制,尝试爆破
注意:虽然中间几位打码了,但可推断出出生年月
故仅需根据年月规律,进行爆破即可
从60101开始,定好规律,这里我推荐用Yakit会更加灵活合适一些
爆破成功后即可实现登录
接下来可以将剩余的sfz信息按照同样的方法进行爆破
学习
要实现身份证号爆破(也是本次利用的两个关键点),需同时满足两个核心条件:
- 系统层面:登录仅需身份证号(无额外校验或次数限制);
- 信息层面:存在 “脱敏不完全” 的身份证号数据(可推断出关键段如出生年月)。
浙公网安备 33010602011771号