Preface #1:前言
这篇文章只说这一道题,主要是教你如何从现有信息推理出一个人的敏感信息(这道题是身份证号)。
本文写作目的是以说明方案的方式提高个人保护隐私意识。
Preface #2:题目综述
该题一共给出了两篇资料。
第一篇为科普,题目分别为《你的隐私,大数据怎知道》和《人肉搜索》。第一部分主要讲述大数据挖掘隐私信息的机理(类比为垃圾处理),第二部分主要讲述案例。在此题中作为资料引入出现,对该题解出无实际作用。
第二篇为实际题目,文章题目为《火龙果的航空梦》,以个人口吻讲述其经历,文章末尾给出题目:通过文章内容推理出18位身份证号。
以下为WriteUp。
Section #1:解题前置条件
要解出该题需要明确身份证号的组成部分。
身份证号由18位,四个部分组成,第一部分为户籍地,第二部分为出生日期,第三部分为个人区分,第四部分为校验。
第一部分户籍地通常由三部分组成,为省、市、区,分别为两位;针对直辖市为两部分,市、区,各三位。
第二部分出生日期,以GMT +8计时,分别为四位年份、两位月份和两位日。
第三部分为个人独有。
第四部分为校验,会由对应公式验证该身份证号的正确性。此题中对相关公式弱关联。
Section #2:题目分析简述
题目中一共有6个部分,个人介绍和5个故事。
个人介绍说明其化名、出生环境、兴趣爱好和座右铭。第一个故事介绍其学习经历和竞赛经历,第二个故事介绍其旅游经历,第三个故事介绍其文化功底,第四个故事介绍其体育爱好和功底,第五个故事为保护隐私担忧。
其中,你可能也发现了我在一个位置打上了码。
是的,后四位已经给出。
Section #3:题目分析
人物介绍中泄漏了如下信息:
- 住址相对位置信息
- 城市区域:“这个名字背后蕴含着一个城市少年对蓝天的无尽向往。”
- 模糊相对位置:“火龙果出生在一所的高等教育学府的附近。”
- 所在位置附近地址的细化信息:“这所大学的”飞行技术”专业,是很多高中生心中的圣地。”
- QQ邮箱(未去敏截图)
附注:QQ邮箱通常为 QQ号@qq.com ,部分用户会自定义该部分使此规则失效,但是仍然存在且关联。
当然,我也没说在其它邮箱可忽视隐私问题。虽然确实相对不敏感一些,但你保不准邮箱服务提供商没泄点什么东西。
第一个故事暂未泄漏对解题有用的信息。
第二个故事泄漏了如下部分:
- 城市机场信息(图后面会给)
- 西安不是他家
第三个故事泄漏其当前学历:“火龙果不仅是个梦想成为飞行员的中学生”
第四、五个故事未泄漏对解题有用的信息。
Section #4:推理
通过人物介绍,我们可以很容易地发现一个QQ号。
空间未隐藏,其中只有一条动态,如下。
附注:有些同学充分利用了社会工程学的知识,深知安全最薄弱的环节在人,故试图加他好友,我个人对此表示极度震撼。这部分之后会再提一遍。
同时,小故事2给出了如下图片:
即使你不是飞友,你应该也可以在文章中看出这是某个机场或航线的照片。
我个人先搜索的CHART-ICAO,得出结果如下。
如果你过了四六级(没过可以用翻译软件,不影响的),你可以发现一个高频词缀叫Aero-,与人造航天器相关。
当然如果你能挖的更深的话,你大概率会看到如下的类似图片。
有没有发现跟上面那张特别像?你应该可以发现这是某个机场的图片了。右上角的字符你大概率也能看出来是机场代号。
接下来你应该可以搜索那个ZYTX了,搜索结果为沈阳桃仙国际机场(IATA代码:SHE;ICAO代码:ZYTX)。
好了,这下你找到了其所在城市的大致范围,也知道了他住某个开了飞行技术专业的高校附近。你大概率可以搜索如下关键词:飞行技术 沈阳 大学。
第一个搜索结果是这个。
接下来随便找个地图搜那个大学,主要目的是确认其所在区县。
通过简单的查找,这下你得到了前六位。
到此,我们可以总结出以下身份证号:210113????0224063X。
第三个故事开门见山地说,其为中学生,可推测大致年龄范围为12-18,可推测出生年份范围为2006-2012。
接下来你可以爆破了,得出结果为2009。填入即可。
爆破的基本方法为生成从06到12共7个待验证的身份证号,然后批量验证是否有效。取其有效部分裹上flag{}提交。
Postscript #1:后记开场
我在写这文的时候就说了本文是科普用的,所以肯定不局限于该WriteUp。我可以刻意忽略这部分,但是既然说是科普了,那就得说全。
Postscript #2:抛开CTF环境,还有什么泄漏的信息?能执行什么样的攻击?
其中我简单提到了部分信息,这里把那些没详细提的拉出来详细举一遍。
首先便是题目中的所有图片。在该题目中,你拿到的虽然都是原图,但几乎没有一个写了exif信息的。exif信息可以暴露你拍摄照片的所在位置、拍摄时间和拍摄设备、拍摄参数,具体可参考 @天伞桜 的这个动态。
其中一张截图列举了一张照片所能透露出的近乎所有信息。
当然如果你能拿到这几天内连续拍摄的几张照片,你甚至能描出行动轨迹,辅以公开或被迫公开的监控摄像头可获取其模糊/清晰人脸。
但是,如果你只拿到了被平台压过的图片,这也没啥大事,你可以以图搜图。
然后便是座右铭、诗集、偶像等看起来无实际含义的信息。这些信息可以看出一个人的性格和所在圈子等,当然如上都是虚的,最大作用其实是方便社会工程学攻击,我称其为话疗。其诗集等肯定会在一定范围内且限于该范围内传播,故可通过该信息执行话疗攻击获取对方信任。
然后便是公开的社交账号。虽然现在没啥人那么直球且简单,但如果你乐意翻还是可以翻出一些信息的。我在四年前的图文正好在说这些事情,当然我现在不建议你去翻。没开玩笑。
还有QQ空间的访问等能暴露出好友信息的地方。对于一个限于特定环境的社交圈子来说,获取QQ空间访问人或什么平台的信息可帮助进行攻击。记住,人是安全体系中最薄弱的环节,如果不是你,那就是别人。
如上方案之前实施起来较为困难,但是现在大数据和AI发达了,你完全可以通过脚本等拉下来所有公开信息并在本地让AI总结偏好等信息。毕竟,连LLM都有qwen(通义千问)这样的可以在本地跑,Ryzen 7 6800H配32GB内存都能跑个7b量级的模型了。
当然还有上面提到的一个话疗部分。
在实际情况中,基本上没啥人会在未做足充分准备下套你话,当然也有相对极端的案例。这类案例请移步中国反间谍,这里不叙述。
一般话术会设计得相对高明,虽然会有跟不上时代的情况出现。一般我们能接触到的这类套话行为更多见于诈骗,其中可采用心理学策略,利用恐惧心理帮助进行社会工程学的运用,同时可辅以公开或奇奇怪怪的渠道获得的信息加以提高信任。
即使对方什么信息也不给你,你也能根据经验确认是谁……
发表回复