返回列表 发帖
wmmy

Rank: 9Rank: 9Rank: 9

帖子
575 
积分
1897 
威望
2479  
金钱
15914  
在线时间
175 小时 

管理组贡献奖内部成员灌水王帅哥勋章支持奖章突出贡献奖刻苦努力奖优秀版主宣传大使奖优质人品奖章论坛元老管理组成员技术组成员
1 跳转到 » 倒序看帖
打印
tT
发表于 2008-8-20 11:03 | 只看该作者

社会工程学轻松拿到8位太阳QQ

社工
实在闲着无聊,没事检测几个网站打发时间。正好前几天做了个黑页,也想挂出来让大家欣赏一下……呵呵o(∩_∩)o...
    于是正好就检测到了这个网站:www.chinagongyi.org。很轻松就进了后台,利用数据库备份拿到了 webshell。左看右看一时半会提不了权,不过发现服务器上有不少网站,于是找到数据库下载来看看有没有什么好利用的信息。
    在一个数据库里发现了这个 yuangong 表:
http://www.520hack.com/Article/UploadFiles/200808/20080813102751758.jpg

    这里储存了姓名、性别、年龄、手机、地址、密码还有 QQ 号。我一看有一个 7 位的,三个 8 位的就有点心痒,琢磨着怎么把它们弄过来……我最近越来越坏了,(*^__^*) 嘻嘻……
    于是立马去 account.qq.com 找回密码,先还要用手机发短信验证……舍不得孩子套不着狼,我咬咬牙,发了短信……呃,都是第一代密保,可惜 7 位那个猜不出答案,伤心ing……
    不过还真有人设置了白痴的问题:我叫什么名字?哈哈,那不是数据库里记录的明明白白的吗?
    赶紧把掌握的信息记下来:
    QQ:302066**
    密码保护问题:我叫什么名字?
    答案:贺*
    接下来是邮箱了,这个也简单,用 QQ 一查找,看一看那个人的个人信息,如图:

http://www.520hack.com/Article/UploadFiles/200808/20080813102751563.jpg

    呵呵,邮箱也知道了。
    邮箱:[email=he***sn@sina.com]he***sn@sina.com[/email]
    什么?你说不知道密码?回头仔细看看:密码不也在数据库里吗?一般人对 QQ 比较重视,用的都是独立密码,但对邮箱就不怎么在意了。我去 www.cmd5.com 查询了一下,顺利得到密码。去新浪一试,果然进去了。
    邮箱密码:82*12
    顺便猜出生日:82年*月12日
    接下来就可以改密码了,但是我们先不急着改,必须有十足把握才改。我们先去邮箱里看看有什么好东西吧。

http://www.520hack.com/Article/UploadFiles/200808/20080813102751813.jpg

    你看出什么了吗?没价值?那你就大错特错了。“智联招聘”,既然是招聘,就一定会填写个人信息吧?而且一定是真实完整的!
    于是我毫不犹豫登陆了那个网站,用户名是邮箱,密码还是老密码……
    偶的上帝,偶太幸福了……
    ……
    男 | 未婚 | 1982 年*月生 | 户口:陕西西安 | 现居住于北京
    3年工作经验 | 党员 | 身份证: 1308031982**12**16
    13466****44(手机)
    E-mail: [email=he***sn@sina.com]he***sn@sina.com[/email] | http://user.qzone.qq.com/302066**
    求职意向
    期望工作性质:全职、兼职
    期望从事职业:销售、高级管理、建筑/房地产/装修/物业、市场/市场拓展/公关、编辑/文案/传媒/影视/新闻
    期望从事行业:金融/银行/投资/基金/证券、汽车/摩托车(制造/维护/配件/销售/服务)、娱乐/体育/休闲、航空/航天、广告/会展/公关/市场推广
    期望工作地区:西安
    期望月薪:    4001-6000元/月
    目前状况:    我目前在职,正考虑换个新环境(如有合适的工作机会,到岗时间一个月左右)
    ……
    多么完整的个人简历!至此,QQ 第一代密保的所有信息全部到手了!
    QQ:302066**
    密码保护问题:我叫什么名字?
    答案:贺*
    邮箱:[email=he***sn@sina.com]he***sn@sina.com[/email]
    邮箱密码:82*12
    证件:1308031982**12**16
    接下来……改掉密码……改掉密码保护问题……改掉安全邮箱……哦也!这个 QQ 号彻底归我了!

http://www.520hack.com/Article/UploadFiles/200808/20080813102752514.jpg

http://www.520hack.com/Article/UploadFiles/200808/20080813102752179.jpg

    哇!8 位 QQ 号!还差 6 天 29 级!黄钻 5 级!知道所有密保信息!你说值多少元宝?赚了赚了……
    好了,正文到这里就结束了。下面是我要说的一些题外话。
    先重弹一下老调:我写这篇文章是为了让大家树立起防范社会工程学的意识,而不是教你去盗 QQ。最后我把号还给了人家,就收了 30 块钱,补偿一下我的话费和一下午的时间……这应该不算黑吧?
    当然,和人家用木马批量盗 Q 相比,这个效率实在是低了点。而且这个号其实被申诉回去的可能性还是比较大的。但是在入侵中,辅以一些社会工程学,往往能迅速扩大战果。
    正所谓信息技术,互联网最大的意义就是信息的共享和交流(而不是玩网游挂 QQ ……)!谁掌握更多的信息,谁就是胜利者!黑客不仅仅是技术,也包括开阔的思路、灵活应用的能力。
1

评分人数

  • 柔肠寸断

收藏 分享

chengyichen

Rank: 5Rank: 5

帖子
264 
积分
624 
威望
608  
金钱
385  
在线时间
84 小时 

帅哥勋章
2
发表于 2008-8-20 18:13 | 只看该作者
楼主很强大。。。。。

TOP

返回列表