Board logo

标题: 社会工程学轻松拿到8位太阳QQ [打印本页]

作者: wmmy    时间: 2008-8-20 11:03     标题: 社会工程学轻松拿到8位太阳QQ

实在闲着无聊,没事检测几个网站打发时间。正好前几天做了个黑页,也想挂出来让大家欣赏一下……呵呵o(∩_∩)o...
    于是正好就检测到了这个网站:www.chinagongyi.org。很轻松就进了后台,利用数据库备份拿到了 webshell。左看右看一时半会提不了权,不过发现服务器上有不少网站,于是找到数据库下载来看看有没有什么好利用的信息。
    在一个数据库里发现了这个 yuangong 表:
http://www.520hack.com/Article/UploadFiles/200808/20080813102751758.jpg

    这里储存了姓名、性别、年龄、手机、地址、密码还有 QQ 号。我一看有一个 7 位的,三个 8 位的就有点心痒,琢磨着怎么把它们弄过来……我最近越来越坏了,(*^__^*) 嘻嘻……
    于是立马去 account.qq.com 找回密码,先还要用手机发短信验证……舍不得孩子套不着狼,我咬咬牙,发了短信……呃,都是第一代密保,可惜 7 位那个猜不出答案,伤心ing……
    不过还真有人设置了白痴的问题:我叫什么名字?哈哈,那不是数据库里记录的明明白白的吗?
    赶紧把掌握的信息记下来:
    QQ:302066**
    密码保护问题:我叫什么名字?
    答案:贺*
    接下来是邮箱了,这个也简单,用 QQ 一查找,看一看那个人的个人信息,如图:

http://www.520hack.com/Article/UploadFiles/200808/20080813102751563.jpg

    呵呵,邮箱也知道了。
    邮箱:[email=he***sn@sina.com]he***sn@sina.com[/email]
    什么?你说不知道密码?回头仔细看看:密码不也在数据库里吗?一般人对 QQ 比较重视,用的都是独立密码,但对邮箱就不怎么在意了。我去 www.cmd5.com 查询了一下,顺利得到密码。去新浪一试,果然进去了。
    邮箱密码:82*12
    顺便猜出生日:82年*月12日
    接下来就可以改密码了,但是我们先不急着改,必须有十足把握才改。我们先去邮箱里看看有什么好东西吧。

http://www.520hack.com/Article/UploadFiles/200808/20080813102751813.jpg

    你看出什么了吗?没价值?那你就大错特错了。“智联招聘”,既然是招聘,就一定会填写个人信息吧?而且一定是真实完整的!
    于是我毫不犹豫登陆了那个网站,用户名是邮箱,密码还是老密码……
    偶的上帝,偶太幸福了……
    ……
    男 | 未婚 | 1982 年*月生 | 户口:陕西西安 | 现居住于北京
    3年工作经验 | 党员 | 身份证: 1308031982**12**16
    13466****44(手机)
    E-mail: [email=he***sn@sina.com]he***sn@sina.com[/email] | http://user.qzone.qq.com/302066**
    求职意向
    期望工作性质:全职、兼职
    期望从事职业:销售、高级管理、建筑/房地产/装修/物业、市场/市场拓展/公关、编辑/文案/传媒/影视/新闻
    期望从事行业:金融/银行/投资/基金/证券、汽车/摩托车(制造/维护/配件/销售/服务)、娱乐/体育/休闲、航空/航天、广告/会展/公关/市场推广
    期望工作地区:西安
    期望月薪:    4001-6000元/月
    目前状况:    我目前在职,正考虑换个新环境(如有合适的工作机会,到岗时间一个月左右)
    ……
    多么完整的个人简历!至此,QQ 第一代密保的所有信息全部到手了!
    QQ:302066**
    密码保护问题:我叫什么名字?
    答案:贺*
    邮箱:[email=he***sn@sina.com]he***sn@sina.com[/email]
    邮箱密码:82*12
    证件:1308031982**12**16
    接下来……改掉密码……改掉密码保护问题……改掉安全邮箱……哦也!这个 QQ 号彻底归我了!

http://www.520hack.com/Article/UploadFiles/200808/20080813102752514.jpg

http://www.520hack.com/Article/UploadFiles/200808/20080813102752179.jpg

    哇!8 位 QQ 号!还差 6 天 29 级!黄钻 5 级!知道所有密保信息!你说值多少元宝?赚了赚了……
    好了,正文到这里就结束了。下面是我要说的一些题外话。
    先重弹一下老调:我写这篇文章是为了让大家树立起防范社会工程学的意识,而不是教你去盗 QQ。最后我把号还给了人家,就收了 30 块钱,补偿一下我的话费和一下午的时间……这应该不算黑吧?
    当然,和人家用木马批量盗 Q 相比,这个效率实在是低了点。而且这个号其实被申诉回去的可能性还是比较大的。但是在入侵中,辅以一些社会工程学,往往能迅速扩大战果。
    正所谓信息技术,互联网最大的意义就是信息的共享和交流(而不是玩网游挂 QQ ……)!谁掌握更多的信息,谁就是胜利者!黑客不仅仅是技术,也包括开阔的思路、灵活应用的能力。
作者: chengyichen    时间: 2008-8-20 18:13

楼主很强大。。。。。




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2