国庆长假过去没多久，有个问题要问一问：假期有没有丢手机?以下是A、B、C、D四个故事，欢迎对号入座。

A：手机丢了，以为被扒，打手机显示关机，悲了个催的用“找回iPhone”成果，俄然能找到了，一打电话，咦，开机了!劈面一个温柔的男声：你好，我捡到你的手机了，但之前没电了，刚充上电开机，约个处所把手机给你吧……若干剧情后，你收获了手机和一枚男盆友。

B：手机丢了，以为被扒，打手机显示关机，悲了个催的用“找回iPhone”成果，然而找不到，真的被扒……iPhone 7朝你招手!

C：手机丢了，以为被扒，打手机显示关机，悲了个催的用“找回iPhone”成果，然而找不到，真的被扒……呜呜，第二天收到“Apple”发来的验证短信，ID、暗码被套取，iPhone 7朝你招手!

D：手机丢了，以为被扒，打手机显示关机，悲了个催的用“找回iPhone”成果，然而找不到，真的被扒……呜呜，第二天收到“Apple”发来的验证短信，ID、暗码被套取，然后，你的伴侣是个大神，通过打击短信里的垂钓网站以及一系列庞大剧情，你找回了手机，此次没有理由买了。

洗把脸醒醒，看看这个世界，A剧情就不要想了，人生最重要的是务实!大部分人遭遇的是B和C剧情，D剧情看上去真的像“故事”，但是，网络安适从业者carry_your真的是这么干的!

距离carry_your操作技术手段找回他伴侣丢掉的iPhone其实已经一个月了，但对雷锋网谈起这件事来，他还是眉飞色舞。来还原下详细剧情!

1.受骗刷机

9月12号晚上9点，carry_your的小伙伴在某地铁拥挤的人群里被偷走了iPhone。当晚，carry_your面对一脸懊丧的伴侣后，曾测验考试使用“找回iPhone”这个成果来找手机。

然而，骗子很机智，手段很干练。偷走手机后，首先关了机，然后拔脱手机卡，又关失了联网成果。于是，“找回iPhone”成果掉效了……没有被偷过iPhone的编纂小李天真的认为，电视剧里被绑架到山区几乎没网还能定位给差人情郎的情节几乎是真的……电视剧害死人。

工作来了个大转弯。第二天，carry_your的伴侣接到一个短信。

焦急的伴侣没有多想，登陆了上述网址，输入了账户 ID 和暗码。然后就杯具了……

到底有几多人是这么干的?此处，雷锋网编纂要敲小黑板!请注意!

丢手机的伴侣如果接收到这条短信，第一，请看发送短信号码是否属实;第二，请看网址是否是垂钓网址;第三，如果发送短信号码看上去像苹果客服，可能从伪基站发出，请再次核实网址。

手机那一头的骗子同伙从垂钓网站得到 ID 和暗码后迅速刷机，如果没有carry_your后来的技术反制，故事到这里应该就结束了，结局会是你的手机已经可以在市场畅通，你有理由去买了!

2.扒失团伙的面纱以及……底裤

伴侣后知后觉，但将此事奉告了carry_your。

作为一个白帽子，赌上荣誉和尊严，都要抢回这部被偷走还被刷机的手机!不过，应该怎么做?怎样才华和这个团伙联系上?怎样才华让他们乖乖交回手机?

carry_your看到了垂钓网址，心生一计——挖缝隙，找到打点员账号、暗码、后台地点，还要找到他的联系方法，这是第一步!

carry_your理清思路后，在上午10点后迅速对该垂钓网站策动打击，他看了看略 Low 的网站，心想预计也没什么出格专业的技术人员在做技术撑持，哼，骗子还是太年轻!于是果断选用了最常见的 XSS 打击。

carry_your说：“在垂钓网站在输入暗码以后，垂钓网站让我输入密保信息，我在答案输入框中输入了 XSS 代码，然后就告成提交了。”

以下是小白教学时间：

所谓 XSS，即跨站脚本打击，打击者向 Web 页面里插入恶意 Script 代码，当用户浏览该页之时，嵌入Web 中的 Script 代码会被执行，从而到达恶意打击用户的目的。

carry_your指出，恶意 Script 代码网上都有，小白不要怕，也可以查到获取，从而进行 XSS 打击，是为了拿到后台地点。

在期待收到 XSS 的过程中，carry_your感受不能把鸡蛋放在一个篮子里，要再找找他其他缝隙。大写的机智!