信息搜集利用与惯性思维

21 小时前 文章归档 6

社工研究组

0x00 前言

有时候我们会在网络上留下自己的信息,但是放在互联网上的信息是否能够保证自己的财产安全?看看社工爱好者如何使用网上留下的信息利用人们的惯性思维对其目标进行攻击。

0x01 准备

目标对象:某网站官网

目标:获取到该站所有数据

手段:通过信息收集找回邮箱密码进行攻击

0x02 实战

第一步还是习惯性的Whois。
发现一个QQ邮箱,加他QQ发现微博有他的名字。


得到真实姓名 段*辉

开始收集信息:

QQ:69***13

名字:段*辉

QQ签名:良师益友 朱*超

邮箱idh***[email protected]

用户名:bl***domain

生日198**216

尝试找回一下邮箱的密码,发现一个密保邮箱。

推测大概是用名字做用户名了,在进入china.com.cn进行找回密码。


使用前面的信息总结最后发现是可以直接修改密码的,并找回了126密码。进入邮箱发现存在网站整站备份和找回了DnsPod密码,拿到解析权限。


通过查看前面下载的整站备份查看到了数据库链接密码,但是却无法进行外链。



继续翻看源码的时候突然发现了PHPMyAdmin。


最后导致最新的数据被脱离。

0x03 总结

建议用户们不要使用弱口令式的密码找回,并不要把备份放置在邮箱内,以防泄漏。使用Dnpsod的时候可以绑定D令,可让黑客无法找回密码。

文章转载请注明来自:社工研究组

welcome
工欲善其事,必先利其器。

推荐阅读:

收藏