【3.A.S.T】网络安全爱好者 » 原创专区 » 一个论坛帐号引起的故事（社会工程学的魅力）

柔肠寸断 发表于 2008-10-30 13:33

一个论坛帐号引起的故事（社会工程学的魅力）

[size=3][color=red][b]原创作者：柔肠寸断【3.A.S.T】[/b][/color][/size][url=http://www.3ast.com.cn/][size=3][color=red][b]http://www.3ast.com.cn[/b][/color][/size][/url]+`\Jt:ZE6u?1s_0Q
[size=3][color=red][b]原创声明：该文章已经发表在《黑客X档案》2008年08期（转载请说明出处）[/b][/color][/size]
3]0T/d#th"KV-m*xE+DT
J&j*d rw2b [size=3][b]最近闲着无聊，上次拿webshell搞到一个大型的医院动网论坛管理员，正好最近研究社会工程学，就从它入手吧，看看今天有没有什么收获。马上就开始了今天的行动。
6n X ]Iz%B
|2g 1、下载了医院论坛的数据库，随便选了一个用户，[attach]675[/attach]^4e EZ;\S'[&FKj
后来证明的我的运气特别好打开了cmd5.com对md5密码进行解破，得到结果密码是231521，[attach]676[/attach]2PGljf}aj[
呵呵，登陆这个论坛是肯定可以的了，但是就没有什么好玩的了嘛？我的眼光在数据库的user_email字段上闪过，嘻嘻，有个sina的邮箱？我来登陆看看，应该不会是其他的密码，因为密码多了记不住的。KHY X-BpG
2、打开了mail.sina.com，输入了他的邮箱和密码231521，点击登陆，页面停了一会，登陆成功了，呵呵，还有不少的邮件么，我来看看有没有什么有价值的邮件。@O_'~Y`
[attach]677[/attach]
|)R,yNM$I,w~ 3、突然在最后一页，看到有这样的一封很老的邮件，Jht,K y%ZYh V
[attach]678[/attach]U2G/Ti|z}


EpZtFoEs 打开看了看知道了他的淘宝用户名han*****。而且这个邮件地址就是他的申请地址，完全可以修改他的淘宝密码的，接着，我就打开了淘宝网，输入了他的帐号。.?"S2F7}k6z%p:D.h[
[attach]679[/attach]
*Q2]!}7l/ba 4、在淘宝上点击忘记密码，输入用户名和安全邮箱，淘宝提示已经发送一封邮件到了安全邮箱，很快，在sina邮箱里我找到了才发来的重置密码的邮件点击进入淘宝网修改密码，改成自己的一个密码方便登陆)K]^[o-Mi
[attach]680[/attach][attach]681[/attach][attach]682[/attach]
~{?+d(J9F 5、成功用新的密码登陆了淘宝，但是看了一番，却没有找到任何有价值的信息，个人资料里几乎为空。呜呜，没意思，闪人，看看邮箱里还有什么有价值的东东
s5bJr-Xh y+B 6、哈哈，太棒了！看到了一封[/b][/size][email=service@tencent.com][size=3][b]service@tencent.com[/b][/size][/email][size=3][b]发来的确认安全邮箱的邮件，呵呵，那就是QQ的安全邮箱了，+10分！自己太棒了！
C+xo*UT 7、但是貌似不知道QQ号是多少哎~~~胡乱中，我点击了“请点击这里完成剩余操作”，一下子跳到了QQ安全中心的页面，在页面的顶部，我发现了让我兴奋的信息——QQ号！也不知道是不是腾讯的一个小小的漏洞，还是直接就把号码显示出来了，虽然邮件没显示&UT/G$Eo%a
[attach]683[/attach]
HaGea"S0W,f(X {n 8、马上，查看该QQ的信息，第一步肯定是从QQ的资料上入手了但是这个不像是真实的资料，看见有开了QQ空间，立刻打开，恩恩，太好了，没有设置什么权限，我可以查看。
Os'Cp
\I0g? [attach]684[/attach]IcW6E f
9、在QQ空间里我看到的信息就多了~~首先是个人档，恩，看来是来自*****的，昵称叫做****，生日12月23日，这些资料在后面都是可能用上的，先先记住0Q$zPBV"P+ki
[attach]685[/attach]%E%j2m1r&oY2@5N~~EZ
10、呵呵，在空间首页还有这家伙的照片，恩，从照片也可以看出点东西，不怎么大。
;sV3N[S,HO/PmMISr [attach]686[/attach]8]NwU0MQ!f
p
W
11、这时，貌似陷入了僵局，没有什么资料了，实在找不到了，哎，再看看邮箱里有什么有价值的吧~~~支付宝？？？好像就是淘宝的“电子钱包”哈，与银行卡有关系！强烈的好奇心让我登陆了支付宝的找回密码功能&w0orEz4t*r
12、支付宝不是发邮件让我改密码，而是让我输入他的生日
3zO+K%Lb
v/vp3j U [attach]687[/attach][attach]688[/attach]
D']h+`D u;D ]q 13、由于前面看到的是12月23日出生，26岁，所以我就试了19801223、19811223、19821223、19831223、19841223，只有5次机会，但我的运气这次特差了，一次没有猜对，淘宝弹出个页面让我继续申诉
"U$H{v v [attach]689[/attach](o&O.P%S w$\K!~
14、邮箱里又来了一封信，就是支付宝发来的，我一看，马上来了劲！邮件上面有写了其真实的姓名！！！
_Y!d.nXn#B [attach]690[/attach]!d)]
EE)l@N6`!P*H
15、太棒了！知道了姓名，知道了居住地，就去QQ申诉啦！！！
~M6PwC2J4_z6U5y [attach]691[/attach]
/N5p(ZLx;_9nC [attach]692[/attach]w(g+j0_W,i'z}(?
16、申诉提交了，现在又陷入了僵局，做什么呢？邮箱里其他的都是垃圾邮件了~~~，哎~~~han*****这个人真是粗心，找了他这么多资料，本以为今天的渗透就到此结束，就打开google无聊的找着自己喜欢的东西，google？霎时，一道灵光闪过，用google来搜索han*****啊！哎呀，差点没有想到！！google搜索的内容不多，但是也给了我不少的信息——这人在sohu上还有的一混，恩恩，我去sohu上看看有没有什么有价值的。
i"JV {V$^ s?"U [attach]693[/attach]
8qtPc-Q 17、就随便在google的结果中点了一个，查看han*****档案。乖乖，这次还是一个不小的帐号呢，在社区还算有点影响力的哈!o qu/l\I
[attach]694[/attach]
"fJ,by3P/A?i 18、立刻我就用同样的用户名和密码进行登陆，晕~~又是登陆成功，我今天的运气怎么就这么好呢~~~，哎，没办法，一直都是这样的。呵呵，继续查看资料。
^G?j"RJ [attach]695[/attach][attach]696[/attach]lZ ?+JRHv$Hy
19、搜狐的个人信息中心被我打开了，又是一些无聊的信息，没用了，早知道了，就是一些生日、电子邮箱这些资料，没意思，再看看其他的有没有
8X|1x}e)_ [attach]697[/attach]H7cX:HS0mQ
20、在搜狐的校友录里看到了他的中学，(*^__^*)嘻嘻……但是貌似没有什么价值p8xg.o;CCDb
21、恩恩，社区属性挺高的啊~~~不错，积分也很不错啊，呵呵发了不少的帖子
%{ crK
?OH| [attach]698[/attach]a*\
U{"hl&h&w
22、帖子我肯定是要搜索的，但是都让我很失望，都是一些无聊的帖子，晕~~~~~~•
|0[;g0b q6SY7C 23、又无聊了，哎~~~~打开百度来搜索下这个家伙的资料看看，嘿，别说，百度找国内的资料就是多哈~~~一下子找了好多的出来了，这个人还在天涯，mop论坛上有过注册d,sHP$M,xh@.x7@a-{/GF
[attach]699[/attach][attach]700[/attach][attach]701[/attach] PTjZ'T,I
无一例外，都是是使用了同一个密码，但是在其他的论坛上这巍个帐号没有太大的作为，不玩了。。。--------天涯社区的帐号存在---------mop的帐号存在并且可以登陆-----------------一个巢湖的论坛也可以登陆。'V,m1v1B$Oue&Os Oh
[attach]702[/attach]UAL%_ R'og6p
好了，不能再玩了，我怕我的好奇心会找到更多的资料，比如说什么银行卡啊,身份证啊之类的东东,然后警察叔叔就找上门来咯！T
~tui
这篇文章只是弱弱的展示了社会工程学的魅力，一个论坛的帐号就会暴露出这么多的问题。当然，还可以加他QQ好友,然后继续猜下去的，这就要看你的运气和耐心了。
+B~l_-w6S6t-D+e 想必大家也都看见了社会工程学的恐怖之处了，几乎不要什么高深的计算机技术，只要反复的思考和灵活的思维，就可以得到别人很多的资料和密码。要想防止别人用这种方法对自己利用，我认为吧，最好的方法就是定期到网上去搜索下自己的相关资料，比如自己的昵称、邮箱之类的资料，要是看见某个网站上留有自己的足迹，就快快擦干净，防止被人利用了。还有就是论坛之类的密码设置复杂点,让cmd5显示notfound或者是付费记录.重要的密码不要和常用的密码相同,防止被别人连环利用.最后一点就是不要与陌生人聊天,这个从小家长就教育我们了,看来爸爸妈妈的话一定要听哈~~~&c}9`/j,?K`w ^ }`
好了，这篇文章的目的不是教大家去破坏，而是为了更好地防御，毕竟，维护我们个人的信息安全才是头等大事。[/b][/size]

wmmy 发表于 2008-10-31 12:08

这里我说一点题外话，运气成分占很多。当然也离不开LZ的智慧与细心 我说的运气还有一点是因为这个邮箱 是新浪的 如果是163的 那么就不能直接登陆他邮箱了 因为163的会显示上次登陆时间 如果主人是个细心的人 会发现其中的异常。。。还有就是如果邮件是没有看过的  被打开之后是不一样的 （邮箱一般是有克隆功能 ，我们可以把邮件克隆到另一个邮箱里面阅读）
C-Lq] R4n LZ的细心表现在 没有直接登陆QQ号   我们拿到一个QQ密码 可以从登陆QQ游戏 或者其他网页得到资料  效果与直接登陆QQ效果一样
;W0jN0@d pMv2?zI
@C qW"J(]/\R'ee~ 最后说一点，LZ的图片没有处理好，有心人能从图片上再次进行社工攻击

miaoqi008 发表于 2008-11-1 17:04

赞一个~:)

lichun_530 发表于 2008-11-2 05:13

顶下!:lol :lol

猪猪 发表于 2008-11-3 13:18

恩 还行3QeU[ I.ou7WuR

.i0f,[%HuP%m 平时我也是这么做得:)

流淚╮鮭鮭 发表于 2008-11-4 13:41

运气很好哦
XUA#iU\r3BQG W'xTMjc
UBd'p8}Y!\B3F
     那个家伙安全意识不是很高。。。！！

wukan886 发表于 2008-11-11 11:58

赞一个！好强大啊！

小雄 发表于 2008-12-9 20:20

感谢，感谢。。

lijinquan 发表于 2008-12-10 02:06

你们的威望好多。。。日哦

闲逛 发表于 2009-1-18 14:36

<35> 最近在看欺骗的艺术 社工确实很强大 哈哈

wuzuo 发表于 2009-2-3 11:09

hanyuwei  楼主没给化掉。小心哦~~

a3260244 发表于 2009-4-7 13:33

-_=!!!!!!!!狂顶;

小楼 发表于 2009-4-15 12:40

很强大啊~~~~~~~

aihq5201314 发表于 2009-4-17 16:36

-_=!!!!!!!!狂顶;

残爱 发表于 2009-4-18 13:58

社会工程学  真是很强大.....

在意z 发表于 2012-5-16 00:21

谢谢楼主分享技术。。。

柔肠寸断 发表于 2021-12-11 23:37

6666

mengmeng 发表于 2022-12-14 15:20

这么久了，还能再次看到论坛重开，真的太怀念了。

查看完整版本: 一个论坛帐号引起的故事（社会工程学的魅力）