【3.A.S.T】网络安全爱好者 » 原创专区 » 一个论坛帐号引起的故事（社会工程学的魅力）

柔肠寸断 发表于 2008-10-30 13:33

一个论坛帐号引起的故事（社会工程学的魅力）

[size=3][color=red][b]原创作者：柔肠寸断【3.A.S.T】[/b][/color][/size][url=http://www.3ast.com.cn/][size=3][color=red][b]http://www.3ast.com.cn[/b][/color][/size][/url]8m
P"z"x;Qm.op(ji
[size=3][color=red][b]原创声明：该文章已经发表在《黑客X档案》2008年08期（转载请说明出处）[/b][/color][/size]7N8mrJj2qj$u

K] MG4X-[W [size=3][b]最近闲着无聊，上次拿webshell搞到一个大型的医院动网论坛管理员，正好最近研究社会工程学，就从它入手吧，看看今天有没有什么收获。马上就开始了今天的行动。
LQG1IqX7`\ 1、下载了医院论坛的数据库，随便选了一个用户，[attach]675[/attach]Cg'yeu}O!f
后来证明的我的运气特别好打开了cmd5.com对md5密码进行解破，得到结果密码是231521，[attach]676[/attach]
fyq1Tmy0F!l&M 呵呵，登陆这个论坛是肯定可以的了，但是就没有什么好玩的了嘛？我的眼光在数据库的user_email字段上闪过，嘻嘻，有个sina的邮箱？我来登陆看看，应该不会是其他的密码，因为密码多了记不住的。Zc%Yg8k+l&x{o1b
2、打开了mail.sina.com，输入了他的邮箱和密码231521，点击登陆，页面停了一会，登陆成功了，呵呵，还有不少的邮件么，我来看看有没有什么有价值的邮件。#T;^'u0f/x@
[attach]677[/attach]
:BKYoYTF;D&Cx,e 3、突然在最后一页，看到有这样的一封很老的邮件，-[4|.]A:B
[attach]678[/attach]*Xm]
q)b5s
^'O7RC
Y
打开看了看知道了他的淘宝用户名han*****。而且这个邮件地址就是他的申请地址，完全可以修改他的淘宝密码的，接着，我就打开了淘宝网，输入了他的帐号。
z"GV;p u},T&em [attach]679[/attach]rn @.~ l"j_*qJ
4、在淘宝上点击忘记密码，输入用户名和安全邮箱，淘宝提示已经发送一封邮件到了安全邮箱，很快，在sina邮箱里我找到了才发来的重置密码的邮件点击进入淘宝网修改密码，改成自己的一个密码方便登陆#B-M _A9h2NWl
[attach]680[/attach][attach]681[/attach][attach]682[/attach]a BoSo#s&x
5、成功用新的密码登陆了淘宝，但是看了一番，却没有找到任何有价值的信息，个人资料里几乎为空。呜呜，没意思，闪人，看看邮箱里还有什么有价值的东东
zR}.[E6^m#X'q0{ 6、哈哈，太棒了！看到了一封[/b][/size][email=service@tencent.com][size=3][b]service@tencent.com[/b][/size][/email][size=3][b]发来的确认安全邮箱的邮件，呵呵，那就是QQ的安全邮箱了，+10分！自己太棒了！cbze'qVb;^.x:X
7、但是貌似不知道QQ号是多少哎~~~胡乱中，我点击了“请点击这里完成剩余操作”，一下子跳到了QQ安全中心的页面，在页面的顶部，我发现了让我兴奋的信息——QQ号！也不知道是不是腾讯的一个小小的漏洞，还是直接就把号码显示出来了，虽然邮件没显示 tKxX/o|Gaqh2Uz
[attach]683[/attach]#C'@:iE#Bj J&I2xm
8、马上，查看该QQ的信息，第一步肯定是从QQ的资料上入手了但是这个不像是真实的资料，看见有开了QQ空间，立刻打开，恩恩，太好了，没有设置什么权限，我可以查看。"P%Y1]wH0Ch"\7\
[attach]684[/attach]
QGB2I:E+`\j$n'oq 9、在QQ空间里我看到的信息就多了~~首先是个人档，恩，看来是来自*****的，昵称叫做****，生日12月23日，这些资料在后面都是可能用上的，先先记住
4Ch;n
H!d x+? [attach]685[/attach]SaA Lg\frA{
10、呵呵，在空间首页还有这家伙的照片，恩，从照片也可以看出点东西，不怎么大。
D(_"`1~4XG [attach]686[/attach]d[0],?/wS
11、这时，貌似陷入了僵局，没有什么资料了，实在找不到了，哎，再看看邮箱里有什么有价值的吧~~~支付宝？？？好像就是淘宝的“电子钱包”哈，与银行卡有关系！强烈的好奇心让我登陆了支付宝的找回密码功能
g]"a1f3zb 12、支付宝不是发邮件让我改密码，而是让我输入他的生日
? I%{z1o1m [attach]687[/attach][attach]688[/attach]
8x+t-|\eE7j9\ 13、由于前面看到的是12月23日出生，26岁，所以我就试了19801223、19811223、19821223、19831223、19841223，只有5次机会，但我的运气这次特差了，一次没有猜对，淘宝弹出个页面让我继续申诉
;E-Lms;ol6zA/z [attach]689[/attach]
#try4}y,S``;Vv 14、邮箱里又来了一封信，就是支付宝发来的，我一看，马上来了劲！邮件上面有写了其真实的姓名！！！t:u$j^*Yua Hy5W
[attach]690[/attach]

?F/Xn
I 15、太棒了！知道了姓名，知道了居住地，就去QQ申诉啦！！！
,EC&q I;Th3J^.T h [attach]691[/attach]
S?1j,C'k&Bb2Ud(K2]^ [attach]692[/attach]
(N,Md} O3?I[J 16、申诉提交了，现在又陷入了僵局，做什么呢？邮箱里其他的都是垃圾邮件了~~~，哎~~~han*****这个人真是粗心，找了他这么多资料，本以为今天的渗透就到此结束，就打开google无聊的找着自己喜欢的东西，google？霎时，一道灵光闪过，用google来搜索han*****啊！哎呀，差点没有想到！！google搜索的内容不多，但是也给了我不少的信息——这人在sohu上还有的一混，恩恩，我去sohu上看看有没有什么有价值的。
A:E1K fm [attach]693[/attach]{a2r2Tc5h}
17、就随便在google的结果中点了一个，查看han*****档案。乖乖，这次还是一个不小的帐号呢，在社区还算有点影响力的哈
QFd @;a_i [attach]694[/attach]'fVw;^.T&|X
18、立刻我就用同样的用户名和密码进行登陆，晕~~又是登陆成功，我今天的运气怎么就这么好呢~~~，哎，没办法，一直都是这样的。呵呵，继续查看资料。4I0C'R*jQ5l Y)Q:[hp
[attach]695[/attach][attach]696[/attach]Qr[|i ^
19、搜狐的个人信息中心被我打开了，又是一些无聊的信息，没用了，早知道了，就是一些生日、电子邮箱这些资料，没意思，再看看其他的有没有
+^2yfY |$t(@W [attach]697[/attach]R9BT|T |5A
20、在搜狐的校友录里看到了他的中学，(*^__^*)嘻嘻……但是貌似没有什么价值
5e:o[O,k 21、恩恩，社区属性挺高的啊~~~不错，积分也很不错啊，呵呵发了不少的帖子gU
f&lU3?0c?
[attach]698[/attach] QP+\B4?B ^O
22、帖子我肯定是要搜索的，但是都让我很失望，都是一些无聊的帖子，晕~~~~~~•
im%]+m2ek}$Yb 23、又无聊了，哎~~~~打开百度来搜索下这个家伙的资料看看，嘿，别说，百度找国内的资料就是多哈~~~一下子找了好多的出来了，这个人还在天涯，mop论坛上有过注册 W jq2~"Q:J(a;d
[attach]699[/attach][attach]700[/attach][attach]701[/attach]|1q5um,U6I{3H#_
无一例外，都是是使用了同一个密码，但是在其他的论坛上这巍个帐号没有太大的作为，不玩了。。。--------天涯社区的帐号存在---------mop的帐号存在并且可以登陆-----------------一个巢湖的论坛也可以登陆。
'e8@(W1k#J4q [attach]702[/attach]
7o9q%v(A2? 好了，不能再玩了，我怕我的好奇心会找到更多的资料，比如说什么银行卡啊,身份证啊之类的东东,然后警察叔叔就找上门来咯！$U]Q M(o?G6N
这篇文章只是弱弱的展示了社会工程学的魅力，一个论坛的帐号就会暴露出这么多的问题。当然，还可以加他QQ好友,然后继续猜下去的，这就要看你的运气和耐心了。.u(I6mO B/P
想必大家也都看见了社会工程学的恐怖之处了，几乎不要什么高深的计算机技术，只要反复的思考和灵活的思维，就可以得到别人很多的资料和密码。要想防止别人用这种方法对自己利用，我认为吧，最好的方法就是定期到网上去搜索下自己的相关资料，比如自己的昵称、邮箱之类的资料，要是看见某个网站上留有自己的足迹，就快快擦干净，防止被人利用了。还有就是论坛之类的密码设置复杂点,让cmd5显示notfound或者是付费记录.重要的密码不要和常用的密码相同,防止被别人连环利用.最后一点就是不要与陌生人聊天,这个从小家长就教育我们了,看来爸爸妈妈的话一定要听哈~~~i vVM7FK
好了，这篇文章的目的不是教大家去破坏，而是为了更好地防御，毕竟，维护我们个人的信息安全才是头等大事。[/b][/size]

wmmy 发表于 2008-10-31 12:08

这里我说一点题外话，运气成分占很多。当然也离不开LZ的智慧与细心 我说的运气还有一点是因为这个邮箱 是新浪的 如果是163的 那么就不能直接登陆他邮箱了 因为163的会显示上次登陆时间 如果主人是个细心的人 会发现其中的异常。。。还有就是如果邮件是没有看过的  被打开之后是不一样的 （邮箱一般是有克隆功能 ，我们可以把邮件克隆到另一个邮箱里面阅读）
A\4}O9~%@%clN{ LZ的细心表现在 没有直接登陆QQ号   我们拿到一个QQ密码 可以从登陆QQ游戏 或者其他网页得到资料  效果与直接登陆QQ效果一样
N+X1l
mb)e5]G
u"N8x)N4JcN
Z 最后说一点，LZ的图片没有处理好，有心人能从图片上再次进行社工攻击

miaoqi008 发表于 2008-11-1 17:04

赞一个~:)

lichun_530 发表于 2008-11-2 05:13

顶下!:lol :lol

猪猪 发表于 2008-11-3 13:18

恩 还行AK/hHixm
jV)Cx2kju(y(B
平时我也是这么做得:)

流淚╮鮭鮭 发表于 2008-11-4 13:41

运气很好哦7LynR~d(m~z6T


^j"a1[%q5d8?&u
(R Jw^D+}R#Q"f*p(A      那个家伙安全意识不是很高。。。！！

wukan886 发表于 2008-11-11 11:58

赞一个！好强大啊！

小雄 发表于 2008-12-9 20:20

感谢，感谢。。

lijinquan 发表于 2008-12-10 02:06

你们的威望好多。。。日哦

闲逛 发表于 2009-1-18 14:36

<35> 最近在看欺骗的艺术 社工确实很强大 哈哈

wuzuo 发表于 2009-2-3 11:09

hanyuwei  楼主没给化掉。小心哦~~

a3260244 发表于 2009-4-7 13:33

-_=!!!!!!!!狂顶;

小楼 发表于 2009-4-15 12:40

很强大啊~~~~~~~

aihq5201314 发表于 2009-4-17 16:36

-_=!!!!!!!!狂顶;

残爱 发表于 2009-4-18 13:58

社会工程学  真是很强大.....

在意z 发表于 2012-5-16 00:21

谢谢楼主分享技术。。。

柔肠寸断 发表于 2021-12-11 23:37

6666

mengmeng 发表于 2022-12-14 15:20

这么久了，还能再次看到论坛重开，真的太怀念了。

查看完整版本: 一个论坛帐号引起的故事（社会工程学的魅力）