【3.A.S.T】网络安全爱好者 » 原创专区 » 一个论坛帐号引起的故事（社会工程学的魅力）

柔肠寸断 发表于 2008-10-30 13:33

一个论坛帐号引起的故事（社会工程学的魅力）

[size=3][color=red][b]原创作者：柔肠寸断【3.A.S.T】[/b][/color][/size][url=http://www.3ast.com.cn/][size=3][color=red][b]http://www.3ast.com.cn[/b][/color][/size][/url]
7q8X;T'_T%j8v [size=3][color=red][b]原创声明：该文章已经发表在《黑客X档案》2008年08期（转载请说明出处）[/b][/color][/size]
V/Dv]:YG$Uq
+hOqU.~vp+pf? [size=3][b]最近闲着无聊，上次拿webshell搞到一个大型的医院动网论坛管理员，正好最近研究社会工程学，就从它入手吧，看看今天有没有什么收获。马上就开始了今天的行动。Q'[V@@uU[2O
1、下载了医院论坛的数据库，随便选了一个用户，[attach]675[/attach] q(r-E;n+d2B
后来证明的我的运气特别好打开了cmd5.com对md5密码进行解破，得到结果密码是231521，[attach]676[/attach]
$jk7e2Lbx+Px M5h 呵呵，登陆这个论坛是肯定可以的了，但是就没有什么好玩的了嘛？我的眼光在数据库的user_email字段上闪过，嘻嘻，有个sina的邮箱？我来登陆看看，应该不会是其他的密码，因为密码多了记不住的。
Bx5az&@.g8U0Zk 2、打开了mail.sina.com，输入了他的邮箱和密码231521，点击登陆，页面停了一会，登陆成功了，呵呵，还有不少的邮件么，我来看看有没有什么有价值的邮件。
:N)T0RI,UK*h [attach]677[/attach]
L]3Y#CB.NP 3、突然在最后一页，看到有这样的一封很老的邮件，PrwpE*\v*`$vy
[attach]678[/attach]
G j!c)Y+\UL8t*j9q
3E F*Y%U0s*T2A]V 打开看了看知道了他的淘宝用户名han*****。而且这个邮件地址就是他的申请地址，完全可以修改他的淘宝密码的，接着，我就打开了淘宝网，输入了他的帐号。

|b:W v.T| [attach]679[/attach]st8xv g
4、在淘宝上点击忘记密码，输入用户名和安全邮箱，淘宝提示已经发送一封邮件到了安全邮箱，很快，在sina邮箱里我找到了才发来的重置密码的邮件点击进入淘宝网修改密码，改成自己的一个密码方便登陆
UE-P3t(uW.c,b}R [attach]680[/attach][attach]681[/attach][attach]682[/attach]
]USl$d:s$qV|5[ 5、成功用新的密码登陆了淘宝，但是看了一番，却没有找到任何有价值的信息，个人资料里几乎为空。呜呜，没意思，闪人，看看邮箱里还有什么有价值的东东
/o&V5P'Dn}5} 6、哈哈，太棒了！看到了一封[/b][/size][email=service@tencent.com][size=3][b]service@tencent.com[/b][/size][/email][size=3][b]发来的确认安全邮箱的邮件，呵呵，那就是QQ的安全邮箱了，+10分！自己太棒了！dNfh n Y(M
7、但是貌似不知道QQ号是多少哎~~~胡乱中，我点击了“请点击这里完成剩余操作”，一下子跳到了QQ安全中心的页面，在页面的顶部，我发现了让我兴奋的信息——QQ号！也不知道是不是腾讯的一个小小的漏洞，还是直接就把号码显示出来了，虽然邮件没显示
9?ed1GE&g;~ [attach]683[/attach];@5Yw;y2n\f?
8、马上，查看该QQ的信息，第一步肯定是从QQ的资料上入手了但是这个不像是真实的资料，看见有开了QQ空间，立刻打开，恩恩，太好了，没有设置什么权限，我可以查看。0K:_go]m%F)Vb/Q0e
[attach]684[/attach]
^v
xQlP*lJt-C T 9、在QQ空间里我看到的信息就多了~~首先是个人档，恩，看来是来自*****的，昵称叫做****，生日12月23日，这些资料在后面都是可能用上的，先先记住
3R!uOmjjE [attach]685[/attach]
rN*]rN
10、呵呵，在空间首页还有这家伙的照片，恩，从照片也可以看出点东西，不怎么大。V%p7a8x2~:W!K _
[attach]686[/attach]

g m ?
n\Ug*\ 11、这时，貌似陷入了僵局，没有什么资料了，实在找不到了，哎，再看看邮箱里有什么有价值的吧~~~支付宝？？？好像就是淘宝的“电子钱包”哈，与银行卡有关系！强烈的好奇心让我登陆了支付宝的找回密码功能*dQ0H#B IF
12、支付宝不是发邮件让我改密码，而是让我输入他的生日$k8];XO)~F
[attach]687[/attach][attach]688[/attach],o#DH:W6{n!l
13、由于前面看到的是12月23日出生，26岁，所以我就试了19801223、19811223、19821223、19831223、19841223，只有5次机会，但我的运气这次特差了，一次没有猜对，淘宝弹出个页面让我继续申诉h
N-VQ&[
[attach]689[/attach]
&O UP[(NtVQL 14、邮箱里又来了一封信，就是支付宝发来的，我一看，马上来了劲！邮件上面有写了其真实的姓名！！！}(Z~&{j
[attach]690[/attach]
wL'C
jA?)gx:H Z 15、太棒了！知道了姓名，知道了居住地，就去QQ申诉啦！！！
-gWWn.pPyb [attach]691[/attach]
;lh/mr_.^!Y7G/d D [attach]692[/attach]B-~,Aj5LHG6S(n ^
16、申诉提交了，现在又陷入了僵局，做什么呢？邮箱里其他的都是垃圾邮件了~~~，哎~~~han*****这个人真是粗心，找了他这么多资料，本以为今天的渗透就到此结束，就打开google无聊的找着自己喜欢的东西，google？霎时，一道灵光闪过，用google来搜索han*****啊！哎呀，差点没有想到！！google搜索的内容不多，但是也给了我不少的信息——这人在sohu上还有的一混，恩恩，我去sohu上看看有没有什么有价值的。 mUy+K]S
[attach]693[/attach]
Is+E ~Q5J'u$e 17、就随便在google的结果中点了一个，查看han*****档案。乖乖，这次还是一个不小的帐号呢，在社区还算有点影响力的哈AQq1c.BXL|O:^CG
[attach]694[/attach]|k v!x6z{@3`
18、立刻我就用同样的用户名和密码进行登陆，晕~~又是登陆成功，我今天的运气怎么就这么好呢~~~，哎，没办法，一直都是这样的。呵呵，继续查看资料。
0N cb9Y6Zo%T\ [attach]695[/attach][attach]696[/attach]p6jV~I#F
19、搜狐的个人信息中心被我打开了，又是一些无聊的信息，没用了，早知道了，就是一些生日、电子邮箱这些资料，没意思，再看看其他的有没有
a3k?|~YYJv.~%G [attach]697[/attach]Z K#e5x8k%h)v
20、在搜狐的校友录里看到了他的中学，(*^__^*)嘻嘻……但是貌似没有什么价值
k*W7GB9t}(Jl/tB 21、恩恩，社区属性挺高的啊~~~不错，积分也很不错啊，呵呵发了不少的帖子1jT/U(NAo kd3DbY9j
[attach]698[/attach]
ZcS kY4Ym%Y])u 22、帖子我肯定是要搜索的，但是都让我很失望，都是一些无聊的帖子，晕~~~~~~•{
b gY|K1{!S7y
23、又无聊了，哎~~~~打开百度来搜索下这个家伙的资料看看，嘿，别说，百度找国内的资料就是多哈~~~一下子找了好多的出来了，这个人还在天涯，mop论坛上有过注册AB ]+]L6uu y9@
[attach]699[/attach][attach]700[/attach][attach]701[/attach]6gi7}#SNPc-Z _'Y
无一例外，都是是使用了同一个密码，但是在其他的论坛上这巍个帐号没有太大的作为，不玩了。。。--------天涯社区的帐号存在---------mop的帐号存在并且可以登陆-----------------一个巢湖的论坛也可以登陆。
OHdqliyl [attach]702[/attach]`5u5A(S5m8e^
p)@x
好了，不能再玩了，我怕我的好奇心会找到更多的资料，比如说什么银行卡啊,身份证啊之类的东东,然后警察叔叔就找上门来咯！
Z~o,[X 这篇文章只是弱弱的展示了社会工程学的魅力，一个论坛的帐号就会暴露出这么多的问题。当然，还可以加他QQ好友,然后继续猜下去的，这就要看你的运气和耐心了。
O4DiY}r 想必大家也都看见了社会工程学的恐怖之处了，几乎不要什么高深的计算机技术，只要反复的思考和灵活的思维，就可以得到别人很多的资料和密码。要想防止别人用这种方法对自己利用，我认为吧，最好的方法就是定期到网上去搜索下自己的相关资料，比如自己的昵称、邮箱之类的资料，要是看见某个网站上留有自己的足迹，就快快擦干净，防止被人利用了。还有就是论坛之类的密码设置复杂点,让cmd5显示notfound或者是付费记录.重要的密码不要和常用的密码相同,防止被别人连环利用.最后一点就是不要与陌生人聊天,这个从小家长就教育我们了,看来爸爸妈妈的话一定要听哈~~~
KA!lj%~(X j { 好了，这篇文章的目的不是教大家去破坏，而是为了更好地防御，毕竟，维护我们个人的信息安全才是头等大事。[/b][/size]

wmmy 发表于 2008-10-31 12:08

这里我说一点题外话，运气成分占很多。当然也离不开LZ的智慧与细心 我说的运气还有一点是因为这个邮箱 是新浪的 如果是163的 那么就不能直接登陆他邮箱了 因为163的会显示上次登陆时间 如果主人是个细心的人 会发现其中的异常。。。还有就是如果邮件是没有看过的  被打开之后是不一样的 （邮箱一般是有克隆功能 ，我们可以把邮件克隆到另一个邮箱里面阅读）
+gH1CrT6@G/q LZ的细心表现在 没有直接登陆QQ号   我们拿到一个QQ密码 可以从登陆QQ游戏 或者其他网页得到资料  效果与直接登陆QQ效果一样
;NOhg dr
Tt+s#gkCZ%['{ 最后说一点，LZ的图片没有处理好，有心人能从图片上再次进行社工攻击

miaoqi008 发表于 2008-11-1 17:04

赞一个~:)

lichun_530 发表于 2008-11-2 05:13

顶下!:lol :lol

猪猪 发表于 2008-11-3 13:18

恩 还行JJ/cF0jb5iZ

s2H4a9E4OV 平时我也是这么做得:)

流淚╮鮭鮭 发表于 2008-11-4 13:41

运气很好哦\h c#M$b9Ry!MJ{W

]J`-?+RTp-} a!q7o%FSH
     那个家伙安全意识不是很高。。。！！

wukan886 发表于 2008-11-11 11:58

赞一个！好强大啊！

小雄 发表于 2008-12-9 20:20

感谢，感谢。。

lijinquan 发表于 2008-12-10 02:06

你们的威望好多。。。日哦

闲逛 发表于 2009-1-18 14:36

<35> 最近在看欺骗的艺术 社工确实很强大 哈哈

wuzuo 发表于 2009-2-3 11:09

hanyuwei  楼主没给化掉。小心哦~~

a3260244 发表于 2009-4-7 13:33

-_=!!!!!!!!狂顶;

小楼 发表于 2009-4-15 12:40

很强大啊~~~~~~~

aihq5201314 发表于 2009-4-17 16:36

-_=!!!!!!!!狂顶;

残爱 发表于 2009-4-18 13:58

社会工程学  真是很强大.....

在意z 发表于 2012-5-16 00:21

谢谢楼主分享技术。。。

柔肠寸断 发表于 2021-12-11 23:37

6666

mengmeng 发表于 2022-12-14 15:20

这么久了，还能再次看到论坛重开，真的太怀念了。

查看完整版本: 一个论坛帐号引起的故事（社会工程学的魅力）