信任与技术结合的火花

8 天前文章归档 66

社工研究组

0x00 前言

信任，中华名族的良好品德之一，然而攻击者往往就会利用人们的这一良好品德来达到攻击者不可告人的目的。也许当你在为交了一个”好朋友”而感到高兴的时候，攻击已经开始了......

0x01 准备

目标对象：某地区网站站长

目标：获取对方的网站服务器

手段：通过IE 0day漏洞进行欺骗

0x02 实战

目标是周末我在一个站长交流群加到的一个中型论坛的站长，当时跟他聊了一些关于网站SEO还有一些运营问题。有了一定的信任之后，我脑子里萌生了一个非常邪恶的想法：没错，我要弄他论坛！

首先，我们收集下目标的网站信息，域名因为有隐私保护，无法收集相关信息，服务器IP：119.x.x.x（安徽合肥），网站程序：Discuz X3.2，渗透水平不行于是想起了之前爆出的IE 0day（MS15-065）漏洞。

于是有了下面的聊天记录：

在他刚才打开我的博客的时候他的服务器已经中了我挂在网站上的远控马，接下来就可以为所欲为了。

0x03 总结

在社会工程学中攻击者经常会利攻击对象的一些人性弱点，达到某个攻击目的，因此理性待人尤其重要，避免过度信任，防止造成不必要的损失。

文章转载请注明来自：社工研究组

welcome

工欲善其事，必先利其器。