社工研究组
0x00 前言
有时候我们会在网络上留下自己的信息,但是放在互联网上的信息是否能够保证自己的财产安全?看看社工爱好者如何使用网上留下的信息利用人们的惯性思维对其目标进行攻击。
0x01 准备
目标对象:某网站官网
目标:获取到该站所有数据
手段:通过信息收集找回邮箱密码进行攻击
0x02 实战
第一步还是习惯性的Whois。
发现一个QQ邮箱,加他QQ发现微博有他的名字。
得到真实姓名 段*辉
开始收集信息:
QQ:69***13
名字:段*辉
QQ签名:良师益友 朱*超
邮箱idh***[email protected]
用户名:bl***domain
生日198**216
尝试找回一下邮箱的密码,发现一个密保邮箱。
推测大概是用名字做用户名了,在进入china.com.cn进行找回密码。
使用前面的信息总结最后发现是可以直接修改密码的,并找回了126密码。进入邮箱发现存在网站整站备份和找回了DnsPod密码,拿到解析权限。
通过查看前面下载的整站备份查看到了数据库链接密码,但是却无法进行外链。
继续翻看源码的时候突然发现了PHPMyAdmin。
最后导致最新的数据被脱离。
0x03 总结
建议用户们不要使用弱口令式的密码找回,并不要把备份放置在邮箱内,以防泄漏。使用Dnpsod的时候可以绑定D令,可让黑客无法找回密码。
文章转载请注明来自:社工研究组
welcome推荐阅读:
社会工程学科普-熊猫云搜
【全网独家】熊猫云搜、贴吧、网易云、B站评论、微博搜索
一个访问网址就能偷拍你的网站照妖镜教程及源码
B站评论、弹幕查询、人物画像,轨迹,性格分析
泄露网站列表
密码的一些有趣规律,(附猜密码工具源码)
直面真实的世界,劳东燕
北大战友回忆为乌克兰牺牲的第一位中国战士彭陈亮
woyun.org官方科普
网易云音乐评论、歌单查询【全网独家】
歡迎關註,獲取最新資源
您好站长,申请贵站收录 网站名称:...
提交链接
@5ZN2liXC:您好,已经添加了哦!...
提交链接
您好站长,申请贵站收录 网站名称:...
提交链接
@5ZN2liXC:您好,已经添加了哦!...
提交链接
类别:博客站点 名称:小报童专栏 地...
提交链接
类别:在线工具 名称:夸克搜 地址:...
提交链接