【3.A.S.T】网络安全爱好者 » 原创专区 » 一个论坛帐号引起的故事（社会工程学的魅力）

柔肠寸断 发表于 2008-10-30 13:33

一个论坛帐号引起的故事（社会工程学的魅力）

[size=3][color=red][b]原创作者：柔肠寸断【3.A.S.T】[/b][/color][/size][url=http://www.3ast.com.cn/][size=3][color=red][b]http://www.3ast.com.cn[/b][/color][/size][/url]
(By5c-Z'rjs#r [size=3][color=red][b]原创声明：该文章已经发表在《黑客X档案》2008年08期（转载请说明出处）[/b][/color][/size]"}5Drh\pJA
~;q4i_9}_2fwN/eB
[size=3][b]最近闲着无聊，上次拿webshell搞到一个大型的医院动网论坛管理员，正好最近研究社会工程学，就从它入手吧，看看今天有没有什么收获。马上就开始了今天的行动。
9IjS3qW"b\mTx e 1、下载了医院论坛的数据库，随便选了一个用户，[attach]675[/attach]"Hd`E-t%P
后来证明的我的运气特别好打开了cmd5.com对md5密码进行解破，得到结果密码是231521，[attach]676[/attach]e*u|bNOuY
呵呵，登陆这个论坛是肯定可以的了，但是就没有什么好玩的了嘛？我的眼光在数据库的user_email字段上闪过，嘻嘻，有个sina的邮箱？我来登陆看看，应该不会是其他的密码，因为密码多了记不住的。
0f3TmT4u;[!]F 2、打开了mail.sina.com，输入了他的邮箱和密码231521，点击登陆，页面停了一会，登陆成功了，呵呵，还有不少的邮件么，我来看看有没有什么有价值的邮件。
K#DR7]/c*K6X
uPN Ni [attach]677[/attach]
?9c$?)`w.Ip 3、突然在最后一页，看到有这样的一封很老的邮件，
` aw(Q1e_2E*D@ [attach]678[/attach] ]0J.n,j2K+t8xEib
?Wnh:^*`i
打开看了看知道了他的淘宝用户名han*****。而且这个邮件地址就是他的申请地址，完全可以修改他的淘宝密码的，接着，我就打开了淘宝网，输入了他的帐号。
-V DZ P$J {.G2]K*}7s [attach]679[/attach]wj/Mn;b&nJc
4、在淘宝上点击忘记密码，输入用户名和安全邮箱，淘宝提示已经发送一封邮件到了安全邮箱，很快，在sina邮箱里我找到了才发来的重置密码的邮件点击进入淘宝网修改密码，改成自己的一个密码方便登陆r^R4t1RJ`#p.sTl
[attach]680[/attach][attach]681[/attach][attach]682[/attach]
D u0ki;J5m5{r1| 5、成功用新的密码登陆了淘宝，但是看了一番，却没有找到任何有价值的信息，个人资料里几乎为空。呜呜，没意思，闪人，看看邮箱里还有什么有价值的东东
)xb6s
B:^-aMAj 6、哈哈，太棒了！看到了一封[/b][/size][email=service@tencent.com][size=3][b]service@tencent.com[/b][/size][/email][size=3][b]发来的确认安全邮箱的邮件，呵呵，那就是QQ的安全邮箱了，+10分！自己太棒了！O2U:pE#PWY'O*?
7、但是貌似不知道QQ号是多少哎~~~胡乱中，我点击了“请点击这里完成剩余操作”，一下子跳到了QQ安全中心的页面，在页面的顶部，我发现了让我兴奋的信息——QQ号！也不知道是不是腾讯的一个小小的漏洞，还是直接就把号码显示出来了，虽然邮件没显示
Zt7B!c-Z.d#X3[ [attach]683[/attach]8l w"wRSKug
8、马上，查看该QQ的信息，第一步肯定是从QQ的资料上入手了但是这个不像是真实的资料，看见有开了QQ空间，立刻打开，恩恩，太好了，没有设置什么权限，我可以查看。GvAx#a
[attach]684[/attach]
W~W|sI 9、在QQ空间里我看到的信息就多了~~首先是个人档，恩，看来是来自*****的，昵称叫做****，生日12月23日，这些资料在后面都是可能用上的，先先记住
i*j._J(a6c1oV [attach]685[/attach] e;C^G0H-@NL
10、呵呵，在空间首页还有这家伙的照片，恩，从照片也可以看出点东西，不怎么大。
l!Uh"s}? s [attach]686[/attach]pe#U%^v|X,Q
11、这时，貌似陷入了僵局，没有什么资料了，实在找不到了，哎，再看看邮箱里有什么有价值的吧~~~支付宝？？？好像就是淘宝的“电子钱包”哈，与银行卡有关系！强烈的好奇心让我登陆了支付宝的找回密码功能`jhF;?)z)b(u
12、支付宝不是发邮件让我改密码，而是让我输入他的生日~.kx+N"^8z2d'Z`W
[attach]687[/attach][attach]688[/attach]MSx(]gyu.m4C
13、由于前面看到的是12月23日出生，26岁，所以我就试了19801223、19811223、19821223、19831223、19841223，只有5次机会，但我的运气这次特差了，一次没有猜对，淘宝弹出个页面让我继续申诉
(G8pOP A"d;G:U ~c!] [attach]689[/attach]
/m$G&e`@%H-~&Ksr 14、邮箱里又来了一封信，就是支付宝发来的，我一看，马上来了劲！邮件上面有写了其真实的姓名！！！:IhT\MO
[attach]690[/attach]9yA+Ydu$`
15、太棒了！知道了姓名，知道了居住地，就去QQ申诉啦！！！QA5i ^VK xV|.t
[attach]691[/attach]
]w1a(PBX{*Y!WT [attach]692[/attach]
s6t,o`qA#X 16、申诉提交了，现在又陷入了僵局，做什么呢？邮箱里其他的都是垃圾邮件了~~~，哎~~~han*****这个人真是粗心，找了他这么多资料，本以为今天的渗透就到此结束，就打开google无聊的找着自己喜欢的东西，google？霎时，一道灵光闪过，用google来搜索han*****啊！哎呀，差点没有想到！！google搜索的内容不多，但是也给了我不少的信息——这人在sohu上还有的一混，恩恩，我去sohu上看看有没有什么有价值的。0@,zig:Dzu
[attach]693[/attach]Oe~y;k}3L:G8{Y
17、就随便在google的结果中点了一个，查看han*****档案。乖乖，这次还是一个不小的帐号呢，在社区还算有点影响力的哈;kk"k6Q:M^ pm0S
[attach]694[/attach]8oc*?` Fq8^6^;D
18、立刻我就用同样的用户名和密码进行登陆，晕~~又是登陆成功，我今天的运气怎么就这么好呢~~~，哎，没办法，一直都是这样的。呵呵，继续查看资料。"h+F7t*zgv
[attach]695[/attach][attach]696[/attach]S'pP$m`dl
19、搜狐的个人信息中心被我打开了，又是一些无聊的信息，没用了，早知道了，就是一些生日、电子邮箱这些资料，没意思，再看看其他的有没有
Rj[
Q7e(e [attach]697[/attach]
.sC B P4_fB 20、在搜狐的校友录里看到了他的中学，(*^__^*)嘻嘻……但是貌似没有什么价值
K'D}o9{B 21、恩恩，社区属性挺高的啊~~~不错，积分也很不错啊，呵呵发了不少的帖子
y7F oyk;F4_4^"KM [attach]698[/attach]x3KZ_-@|eE
22、帖子我肯定是要搜索的，但是都让我很失望，都是一些无聊的帖子，晕~~~~~~•
b*fP
a$Kwj6j
23、又无聊了，哎~~~~打开百度来搜索下这个家伙的资料看看，嘿，别说，百度找国内的资料就是多哈~~~一下子找了好多的出来了，这个人还在天涯，mop论坛上有过注册;cY1A_#km%Y M
[attach]699[/attach][attach]700[/attach][attach]701[/attach]
Mw(d,Y%p B2}R1d 无一例外，都是是使用了同一个密码，但是在其他的论坛上这巍个帐号没有太大的作为，不玩了。。。--------天涯社区的帐号存在---------mop的帐号存在并且可以登陆-----------------一个巢湖的论坛也可以登陆。
m
]:od%G@-jB [attach]702[/attach]WLI"nY1R
好了，不能再玩了，我怕我的好奇心会找到更多的资料，比如说什么银行卡啊,身份证啊之类的东东,然后警察叔叔就找上门来咯！
"raq:W%kM.u2X 这篇文章只是弱弱的展示了社会工程学的魅力，一个论坛的帐号就会暴露出这么多的问题。当然，还可以加他QQ好友,然后继续猜下去的，这就要看你的运气和耐心了。H,\R2dI*x W
想必大家也都看见了社会工程学的恐怖之处了，几乎不要什么高深的计算机技术，只要反复的思考和灵活的思维，就可以得到别人很多的资料和密码。要想防止别人用这种方法对自己利用，我认为吧，最好的方法就是定期到网上去搜索下自己的相关资料，比如自己的昵称、邮箱之类的资料，要是看见某个网站上留有自己的足迹，就快快擦干净，防止被人利用了。还有就是论坛之类的密码设置复杂点,让cmd5显示notfound或者是付费记录.重要的密码不要和常用的密码相同,防止被别人连环利用.最后一点就是不要与陌生人聊天,这个从小家长就教育我们了,看来爸爸妈妈的话一定要听哈~~~DZ
F-gUs
好了，这篇文章的目的不是教大家去破坏，而是为了更好地防御，毕竟，维护我们个人的信息安全才是头等大事。[/b][/size]

wmmy 发表于 2008-10-31 12:08

这里我说一点题外话，运气成分占很多。当然也离不开LZ的智慧与细心 我说的运气还有一点是因为这个邮箱 是新浪的 如果是163的 那么就不能直接登陆他邮箱了 因为163的会显示上次登陆时间 如果主人是个细心的人 会发现其中的异常。。。还有就是如果邮件是没有看过的  被打开之后是不一样的 （邮箱一般是有克隆功能 ，我们可以把邮件克隆到另一个邮箱里面阅读）
0{&V#t,_m;V!F%Ja0do LZ的细心表现在 没有直接登陆QQ号   我们拿到一个QQ密码 可以从登陆QQ游戏 或者其他网页得到资料  效果与直接登陆QQ效果一样t7Q\
~j5Q dWv2nN

J*j L{%kTN#r6n 最后说一点，LZ的图片没有处理好，有心人能从图片上再次进行社工攻击

miaoqi008 发表于 2008-11-1 17:04

赞一个~:)

lichun_530 发表于 2008-11-2 05:13

顶下!:lol :lol

猪猪 发表于 2008-11-3 13:18

恩 还行
$x]y j4J *LC@N6|-AD'x
`6D @
平时我也是这么做得:)

流淚╮鮭鮭 发表于 2008-11-4 13:41

运气很好哦cM!| V3q)y9]8W
5P)sbb#BK/[2^"_R

]0o2N Y#d~      那个家伙安全意识不是很高。。。！！

wukan886 发表于 2008-11-11 11:58

赞一个！好强大啊！

小雄 发表于 2008-12-9 20:20

感谢，感谢。。

lijinquan 发表于 2008-12-10 02:06

你们的威望好多。。。日哦

闲逛 发表于 2009-1-18 14:36

<35> 最近在看欺骗的艺术 社工确实很强大 哈哈

wuzuo 发表于 2009-2-3 11:09

hanyuwei  楼主没给化掉。小心哦~~

a3260244 发表于 2009-4-7 13:33

-_=!!!!!!!!狂顶;

小楼 发表于 2009-4-15 12:40

很强大啊~~~~~~~

aihq5201314 发表于 2009-4-17 16:36

-_=!!!!!!!!狂顶;

残爱 发表于 2009-4-18 13:58

社会工程学  真是很强大.....

在意z 发表于 2012-5-16 00:21

谢谢楼主分享技术。。。

柔肠寸断 发表于 2021-12-11 23:37

6666

mengmeng 发表于 2022-12-14 15:20

这么久了，还能再次看到论坛重开，真的太怀念了。

查看完整版本: 一个论坛帐号引起的故事（社会工程学的魅力）