盘点电影《孤注一掷》中的技术栈…

上周刷了一次电影《孤注一掷》，说实话看完之后心里五味杂陈...

技术的发展和应用可以给生活带来许多积极的影响，但同时也可能被用于负面和有害的方式，那也将是一场灾难。

今天我来盘点下，电影中出现的技术栈，了解这些技术后观影体验更佳哦～

本文存在剧透，如果正想去电影院看原片的小伙伴可以先收藏本文，看完电影再回来阅读本文。

SQL注入攻击

潘生在被穿小鞋之后，黑了酒店内部系统，篡改了会议上的投影信息。

从很少的画面信息上不难看出，潘生是使用sql注入攻击了酒店的管理系统，获取了admin权限。

从此图上可以差不多看到完整命令行指令：

python sqlmap.py -u "https://pms.arey-hilmon.com/orders/detail?id=13260994" --random-agent --batch -D pms_arey-hilman_com -T users -C "username,password" –drop

通过潘生的攻击，酒店内部管理admin的密码是多少，大家肯定都知道了吧？

爬虫

潘生到了“缅北”之后，被强迫写爬虫，爬取字幕组信息。

影片中的X-pider的爬虫工具，现实生活中我并没有听说过，有可能是影片需要或者是潘生自己写的框架。

影片中，潘生爬取字幕组的邮箱后，“缅北”集团向这些邮箱发送“合作”邮件，只要字幕组植入“广告”，“缅北”就给字幕组对应的报酬。

扫街的伪基站

影片中，除了字幕组推广链接和网址之外，另外一种办法是使用伪基站。

伪基站指的是未经过通信运营商授权和管理的基站，并伪装成运营商合法基站的非法通信设备，所有靠近它的手机，信号强度上伪基站更强，因此手机会自动连接伪基站，伪基站因而可以获取手机用户的移动用户识别码（IMSI），给连接到的手机群发广告短信或诈骗短信。

由于伪基站设备不大，故不法分子会将伪基站放置在汽车后备箱、摩托车后备箱等运输工具上，通过四处移动的方式，在旅店、商业街等人员流动较多的场所，实施诈骗短信推广。

另外，影片中似乎还出现了猫池，这是一种可以提供多组模拟电话号码的设备，在猫池设备上可以同时管理大规模的电话手机卡（也就是诈骗集团本身拥有大量用于诈骗的手机号码，或称黑卡），通过配套的软件可以实现同时接收、发送短信，拨打电话的功能。诈骗集团通过这种方式与受害者联系进行电话诈骗，因为电话号码可以自动切换的，所以追踪难度非常大。

自动化钓鱼程序

在影片中后部分，潘生提出和陆经理合伙诈骗，为其写自动化钓鱼程序。把很大一部分人工的事情用AI+算法去实现。

然而被释放的工人就被...卖到了另一个诈骗集团。

以现在的技术，一个上百的用户群里是真有可能 除了你 其他都是托（AI）。

陆经理的唯一终端

影片结尾，陆经理的手机成为了访问诈骗集团服务器唯一的终端，从情节介绍很容易理解，甚至片中还有一幕使用到了iptables设置访问来源IP。

现实生活中，设置特定的访问来源或终端有很多种办法，iptables是Linux系统中用于配置防火墙访问规则的命令，影片中设置的唯一访问来源IP是192.168.2.5，而配置该命令的服务器IP是172.16.3.141，同样是内网网段IP地址。

可能的技术方案是通过陆经理手机配置VPN（密钥验证）连接动态IP绑定的192.168.2.5（这也是必须拿到陆经理手机的原因），潘生设计和编写的程序在该服务器上运营和管理172.16.3.141的服务器数据，故陆经理连接服务器之后还需要输入账户名和口令才能进行管理，一旦输入次数超过3次，则执行系统层面的格式化命令，将172.16.3.141中的数据格式化。而潘生留下所谓的后门，大概率是应用中硬编码的账户口令，或者万能账户，只有他本人知道。

片中最强的技术

影片中，潘生在新员工们前往新公司的航班上透露了每个人的姓名，有人以为他会算卦，而他自称是黑掉了“才哥”的手机。

按照潘生的说法，大概的攻击方式是：

首先

通过OSINT（开源情报搜集）获得才哥的个人信息

然后

通过社会工程学的方式“诱导”或“引诱”才哥下载安装了App（影片才哥使用的是Android手机）

最后

利用带有木马程序的App获得手机上的其他信息，比如才哥下载在手机本地的新员工名录或清单。

潘生没有通过才哥手机得知才哥真实身份及诈骗集团相关信息，说明才哥在手机讯息管理上非常严谨，又或者才哥有多部手机（至少一部用来“招聘”，一部用于“工作”），电影末尾得知才哥确实是持有两部手机，潘生黑掉的只是没有问题的那部。

社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。

在计算机科学中，社会工程学指的是通过与他人的合法的交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。

这就是为什么潘生智商那么高还被“缅北”集团轻松骗走的原因。

因为“缅北”集团有可能比潘生还要了解潘生，太懂潘生的强项和弱点了。

还有女主安娜被骗去“缅北”的原因，跟潘生不同。安娜是被下了套之后，主动去的“缅北”。

而那个套，简直就是为安娜量身定制，一环扣一环。

最后

有人说“人只要不贪就不会被骗”，这是一方面原因。但我觉得保护个人信息不泄漏更重要。

如果个人信息泄漏之后，被别有用心者拿去“琢磨”出点套路对付你或者你的家人，后果都是很难想象的。

举个例子：

我全家的信息都泄露了，然后骗子用“电话一声响”得知我关机了，回头马上给我妈打电话，说我出了XX事，需要保释，要XXXX钱。

我妈此时打我电话不通，可能就打钱了。

这个局可能20分钟就完成了。

这还是几年前的骗局，估计现在的局可能更加精致了。