【3.A.S.T】网络安全爱好者 » 原创专区 » 一个论坛帐号引起的故事（社会工程学的魅力）

柔肠寸断 发表于 2008-10-30 13:33

一个论坛帐号引起的故事（社会工程学的魅力）

[size=3][color=red][b]原创作者：柔肠寸断【3.A.S.T】[/b][/color][/size][url=http://www.3ast.com.cn/][size=3][color=red][b]http://www.3ast.com.cn[/b][/color][/size][/url]
"Q%l/Hm4__5F6]8qw*u [size=3][color=red][b]原创声明：该文章已经发表在《黑客X档案》2008年08期（转载请说明出处）[/b][/color][/size];F3c,FY}Q'`I(c
7I+t~D
e'Ws
[size=3][b]最近闲着无聊，上次拿webshell搞到一个大型的医院动网论坛管理员，正好最近研究社会工程学，就从它入手吧，看看今天有没有什么收获。马上就开始了今天的行动。;]GrKu2ia@(oNGY
1、下载了医院论坛的数据库，随便选了一个用户，[attach]675[/attach]
0E)K"_j Mk ^a 后来证明的我的运气特别好打开了cmd5.com对md5密码进行解破，得到结果密码是231521，[attach]676[/attach])l Y#z3J?y'M9a
呵呵，登陆这个论坛是肯定可以的了，但是就没有什么好玩的了嘛？我的眼光在数据库的user_email字段上闪过，嘻嘻，有个sina的邮箱？我来登陆看看，应该不会是其他的密码，因为密码多了记不住的。
V#TvtLQ&kVgmI` 2、打开了mail.sina.com，输入了他的邮箱和密码231521，点击登陆，页面停了一会，登陆成功了，呵呵，还有不少的邮件么，我来看看有没有什么有价值的邮件。
,Hp.JFA [attach]677[/attach]
;teh%~^ 3、突然在最后一页，看到有这样的一封很老的邮件，]-H-O!q(n z\i"jB-y
[attach]678[/attach]
Rm{(W IW

9LO5{9^J 打开看了看知道了他的淘宝用户名han*****。而且这个邮件地址就是他的申请地址，完全可以修改他的淘宝密码的，接着，我就打开了淘宝网，输入了他的帐号。;s8T`#\z7BQZ
[attach]679[/attach]7b#g"e*U \Ot*K
4、在淘宝上点击忘记密码，输入用户名和安全邮箱，淘宝提示已经发送一封邮件到了安全邮箱，很快，在sina邮箱里我找到了才发来的重置密码的邮件点击进入淘宝网修改密码，改成自己的一个密码方便登陆']*oMu:@1v+e
[attach]680[/attach][attach]681[/attach][attach]682[/attach]`d8Bj
KNQv
5、成功用新的密码登陆了淘宝，但是看了一番，却没有找到任何有价值的信息，个人资料里几乎为空。呜呜，没意思，闪人，看看邮箱里还有什么有价值的东东+u/x3["bq4K5qu
6、哈哈，太棒了！看到了一封[/b][/size][email=service@tencent.com][size=3][b]service@tencent.com[/b][/size][/email][size=3][b]发来的确认安全邮箱的邮件，呵呵，那就是QQ的安全邮箱了，+10分！自己太棒了！!Z9E4M"b`-d8@ N
7、但是貌似不知道QQ号是多少哎~~~胡乱中，我点击了“请点击这里完成剩余操作”，一下子跳到了QQ安全中心的页面，在页面的顶部，我发现了让我兴奋的信息——QQ号！也不知道是不是腾讯的一个小小的漏洞，还是直接就把号码显示出来了，虽然邮件没显示 h:EA3O8|.h+]^
[attach]683[/attach],w Z#s ^:_
8、马上，查看该QQ的信息，第一步肯定是从QQ的资料上入手了但是这个不像是真实的资料，看见有开了QQ空间，立刻打开，恩恩，太好了，没有设置什么权限，我可以查看。"bw n;?d-Wl
[attach]684[/attach]
uaA/d;O,XgA 9、在QQ空间里我看到的信息就多了~~首先是个人档，恩，看来是来自*****的，昵称叫做****，生日12月23日，这些资料在后面都是可能用上的，先先记住
E
I#jq;mE:L&i m4{O [attach]685[/attach]
jv5D?'L.Y 10、呵呵，在空间首页还有这家伙的照片，恩，从照片也可以看出点东西，不怎么大。
/W7r`5kY:X1R6H [attach]686[/attach]5qz:SL7w,U
11、这时，貌似陷入了僵局，没有什么资料了，实在找不到了，哎，再看看邮箱里有什么有价值的吧~~~支付宝？？？好像就是淘宝的“电子钱包”哈，与银行卡有关系！强烈的好奇心让我登陆了支付宝的找回密码功能WE)WXS/S.l`R
12、支付宝不是发邮件让我改密码，而是让我输入他的生日
2O9cf8}t7zU d&e [attach]687[/attach][attach]688[/attach]
~mY iC)Ngu 13、由于前面看到的是12月23日出生，26岁，所以我就试了19801223、19811223、19821223、19831223、19841223，只有5次机会，但我的运气这次特差了，一次没有猜对，淘宝弹出个页面让我继续申诉
J4O{CIK:c8BP? [attach]689[/attach]
!sl7bJz(v*\f n ] 14、邮箱里又来了一封信，就是支付宝发来的，我一看，马上来了劲！邮件上面有写了其真实的姓名！！！7F EdR M
[attach]690[/attach]
,u;m"BJW PV4_-x 15、太棒了！知道了姓名，知道了居住地，就去QQ申诉啦！！！;x0WD3\DQI9rV,n
[attach]691[/attach]
+X5k2X Pyv$?S"p [attach]692[/attach]q0Ku)QC`%eL
16、申诉提交了，现在又陷入了僵局，做什么呢？邮箱里其他的都是垃圾邮件了~~~，哎~~~han*****这个人真是粗心，找了他这么多资料，本以为今天的渗透就到此结束，就打开google无聊的找着自己喜欢的东西，google？霎时，一道灵光闪过，用google来搜索han*****啊！哎呀，差点没有想到！！google搜索的内容不多，但是也给了我不少的信息——这人在sohu上还有的一混，恩恩，我去sohu上看看有没有什么有价值的。8Aa? R]
[attach]693[/attach]1yy~8f1Q
17、就随便在google的结果中点了一个，查看han*****档案。乖乖，这次还是一个不小的帐号呢，在社区还算有点影响力的哈
)a3L` M$m[
|'| x5z [attach]694[/attach]
?dN;[u'wk o!?)j 18、立刻我就用同样的用户名和密码进行登陆，晕~~又是登陆成功，我今天的运气怎么就这么好呢~~~，哎，没办法，一直都是这样的。呵呵，继续查看资料。
K!n*_pl-}
[attach]695[/attach][attach]696[/attach];`4F8?? cW
19、搜狐的个人信息中心被我打开了，又是一些无聊的信息，没用了，早知道了，就是一些生日、电子邮箱这些资料，没意思，再看看其他的有没有!n { i`IK
[attach]697[/attach](|i yHO7]u4C*bY
20、在搜狐的校友录里看到了他的中学，(*^__^*)嘻嘻……但是貌似没有什么价值#Lk#}oP$y5_i1c
21、恩恩，社区属性挺高的啊~~~不错，积分也很不错啊，呵呵发了不少的帖子 T Iq6rc?1M
[attach]698[/attach]J$d;KP2p]4qE
22、帖子我肯定是要搜索的，但是都让我很失望，都是一些无聊的帖子，晕~~~~~~•
:G%cq8pki^ 23、又无聊了，哎~~~~打开百度来搜索下这个家伙的资料看看，嘿，别说，百度找国内的资料就是多哈~~~一下子找了好多的出来了，这个人还在天涯，mop论坛上有过注册 s$uOV8L
[attach]699[/attach][attach]700[/attach][attach]701[/attach]2w Fe6VP
无一例外，都是是使用了同一个密码，但是在其他的论坛上这巍个帐号没有太大的作为，不玩了。。。--------天涯社区的帐号存在---------mop的帐号存在并且可以登陆-----------------一个巢湖的论坛也可以登陆。
`$F(T4cAmf [attach]702[/attach]

MoG*S'l 好了，不能再玩了，我怕我的好奇心会找到更多的资料，比如说什么银行卡啊,身份证啊之类的东东,然后警察叔叔就找上门来咯！@m9PG%p6}/C
这篇文章只是弱弱的展示了社会工程学的魅力，一个论坛的帐号就会暴露出这么多的问题。当然，还可以加他QQ好友,然后继续猜下去的，这就要看你的运气和耐心了。
.iw*gdt)LI 想必大家也都看见了社会工程学的恐怖之处了，几乎不要什么高深的计算机技术，只要反复的思考和灵活的思维，就可以得到别人很多的资料和密码。要想防止别人用这种方法对自己利用，我认为吧，最好的方法就是定期到网上去搜索下自己的相关资料，比如自己的昵称、邮箱之类的资料，要是看见某个网站上留有自己的足迹，就快快擦干净，防止被人利用了。还有就是论坛之类的密码设置复杂点,让cmd5显示notfound或者是付费记录.重要的密码不要和常用的密码相同,防止被别人连环利用.最后一点就是不要与陌生人聊天,这个从小家长就教育我们了,看来爸爸妈妈的话一定要听哈~~~(MrI_K9W9i
好了，这篇文章的目的不是教大家去破坏，而是为了更好地防御，毕竟，维护我们个人的信息安全才是头等大事。[/b][/size]

wmmy 发表于 2008-10-31 12:08

这里我说一点题外话，运气成分占很多。当然也离不开LZ的智慧与细心 我说的运气还有一点是因为这个邮箱 是新浪的 如果是163的 那么就不能直接登陆他邮箱了 因为163的会显示上次登陆时间 如果主人是个细心的人 会发现其中的异常。。。还有就是如果邮件是没有看过的  被打开之后是不一样的 （邮箱一般是有克隆功能 ，我们可以把邮件克隆到另一个邮箱里面阅读）
yAo(Un?1PzE/r#{5a LZ的细心表现在 没有直接登陆QQ号   我们拿到一个QQ密码 可以从登陆QQ游戏 或者其他网页得到资料  效果与直接登陆QQ效果一样 e${ PF*PP*o2K&W
Y:o+v"I7Rv&_(gL$V(m
最后说一点，LZ的图片没有处理好，有心人能从图片上再次进行社工攻击

miaoqi008 发表于 2008-11-1 17:04

赞一个~:)

lichun_530 发表于 2008-11-2 05:13

顶下!:lol :lol

猪猪 发表于 2008-11-3 13:18

恩 还行
8Ll4c!w8\e0n
VJW%^6Q0o+L 平时我也是这么做得:)

流淚╮鮭鮭 发表于 2008-11-4 13:41

运气很好哦1h$G|~er

+I%s4^2I-Q Py%E5^;RsJ tZ-V-O
     那个家伙安全意识不是很高。。。！！

wukan886 发表于 2008-11-11 11:58

赞一个！好强大啊！

小雄 发表于 2008-12-9 20:20

感谢，感谢。。

lijinquan 发表于 2008-12-10 02:06

你们的威望好多。。。日哦

闲逛 发表于 2009-1-18 14:36

<35> 最近在看欺骗的艺术 社工确实很强大 哈哈

wuzuo 发表于 2009-2-3 11:09

hanyuwei  楼主没给化掉。小心哦~~

a3260244 发表于 2009-4-7 13:33

-_=!!!!!!!!狂顶;

小楼 发表于 2009-4-15 12:40

很强大啊~~~~~~~

aihq5201314 发表于 2009-4-17 16:36

-_=!!!!!!!!狂顶;

残爱 发表于 2009-4-18 13:58

社会工程学  真是很强大.....

在意z 发表于 2012-5-16 00:21

谢谢楼主分享技术。。。

柔肠寸断 发表于 2021-12-11 23:37

6666

mengmeng 发表于 2022-12-14 15:20

这么久了，还能再次看到论坛重开，真的太怀念了。

查看完整版本: 一个论坛帐号引起的故事（社会工程学的魅力）