渗透密码（1）

今天，看到一句话感觉特别对，觉得自己多少也是有这样的心态的。

我不是一个很喜欢拼命的人，喜欢做容易的事，有点儿随遇而安。不怎么会应对困难。

既然知道了就慢慢改这个问题。这里或许是一个开始。

既然想学黑客技术就要树立一个目标嘛，我树立的目标就是拿到哥哥的QQ密码。之所以选他一是因为他不会生气，二是拿他的号有用。

在这之前，我大量恶补了相关的知识，也努力的回忆了以前所学习的知识，得出了这些结论。

目标：拿到哥哥的QQ密码,并且不被发现

1.从哥哥本身下手，动用社工类信息，收集他的各种信息。这点对我来说很容易。实际上，真的想要的话，软磨硬泡也是可以拿到的。但是这就和技术无关了，主要考验的是耍赖技术。已知他生日，身份证，手机号，手机屏保密码，银行密码等。

2.如果他在家的话，一切就很好办了。网上有大量的在局域网内如何抓包，破解密码的办法。还有既然已经在局域网了，为什么还要破解密码呢？直接截取Cookie就可以了。但是，他不在家，流量不好抓。

3.在已知他的各种信息后，写个密码字典，暴力破解是可行的。我试图从网页版QQ空间入口试密码，人工暴力未成功。第一个想法是可以在这里用软件暴力输入密码破解，但是没有找到相应的方法和软件。还有如何绕过验证码。这些都是web安全领域的，在查看了多篇文章之后，发现能力一时半会是做不到的，遂暂停。

4.发送恶意邮件或者图片之类，使我可以查看他的流量包，就可以施行方法2了。但是如果我给他手机装木马的话，直接所有信息对我透明，也不用再进行方法2了，并且个人感觉这个方法不太好，没底线了。以后有兴趣了再研究研究。

5. 既然硬来不行，那就绕一下吧。我找出了他邮箱注册过的网站，想从一些略微简陋的网站数据库拿到他的密码。他习惯设相同的密码。这里就考察了如何找到后台，弱密码，SQL注入等，最后的结果是我都做不到，技术不到家，T T。

这中间也有比较气馁的时候，怎么试都不成功。现在又开始回去学基础的东西了，然后再从从以上的某一点展开学习。继续努力，直到成功。