关注我们

实战渗透 | 情侣空间钓鱼邀请,撸它

AslanAslan 安全文摘 2019-11-20 15607 0

前两天收到一情侣空间的邀请 一脸吃惊

长这个样子

实战渗透 | 情侣空间钓鱼邀请,撸它

当时在火车上,随便拿手机看了看 踩了下点

后台及简单弱口令 无果

反手一个XSS Fuck?

实战渗透 | 情侣空间钓鱼邀请,撸它

好吧 好吧 惹不起 …..

今天 2019.07.21 天气很热,砖头也很烫手 烦躁

想起这个钓鱼站,

已知信息

后台地址、管理员QQ、宝塔面板 哦,还知道这个B是个钓鱼站………….

宝塔自带waf 咱也不敢刚 咱也刚不动

爆破inG

倒杯二锅头 让自己清醒一下

………….

半斤下肚 等等 注出来了….

实战渗透 | 情侣空间钓鱼邀请,撸它

实战渗透 | 情侣空间钓鱼邀请,撸它

实战渗透 | 情侣空间钓鱼邀请,撸它

毕竟Qiong 还是段总的好使 手动@段总

实战渗透 | 情侣空间钓鱼邀请,撸它

后台进入ing

哎哟 看看 这臭不要脸的声明:

此程序是一份仅提供Web编程模仿技术研究,社会工程师水平锻炼,网络防骗流程深入研究的一份程序,并且程序性质不为公开性。

实战渗透 | 情侣空间钓鱼邀请,撸它

登录日志,先看看管理员的位置

实战渗透 | 情侣空间钓鱼邀请,撸它

实战渗透 | 情侣空间钓鱼邀请,撸它

国内的 大概或许可能不是代理

再看看这一堆的页数 全是刚刚爆破的记录 难受 还没有删除功能….(破玩意)

实战渗透 | 情侣空间钓鱼邀请,撸它

系统第一次登录时间为7月7 然而数据只有今天的 看样子是每天都在删除

上钩的人太多了 从7.21下午4点 到晚上10点 短短六个小时就100多条SJ

四处逛逛 无上传 放弃后台..

实战渗透 | 情侣空间钓鱼邀请,撸它

不是DBA 就连密码都跑不出来

毕竟是宝塔 牛逼。

实战渗透 | 情侣空间钓鱼邀请,撸它

尝试sql写shell 还无法执行非sql语句

实战渗透 | 情侣空间钓鱼邀请,撸它

宝塔888数据库密码 看了下自己的 。。。路径名随机 放弃

实战渗透 | 情侣空间钓鱼邀请,撸它

苦苦挣扎一小时 彻底放弃。

撸下后台,也不知道有木有该地区管辖的网警 可以联系我~

当我今天(7.22)再看的时候 果然,猜得没错 昨天的已经被清除了

实战渗透 | 情侣空间钓鱼邀请,撸它

而截止到今天8.31 已经有77条了

实战渗透 | 情侣空间钓鱼邀请,撸它

管理员也是够辛苦的 凌晨了还在登录

实战渗透 | 情侣空间钓鱼邀请,撸它

聊一聊社工

再说说社工,对于网络渗透攻击,社工只能取其部分意思,最重要的两种手段:撞库、钓鱼。

伪装

社工的话,要选定几个主要目标,或者你混入他们的圈子,你可以伪装成员工加公司QQ群(QQ群文件往往有意想不到的收获),至于怎么加群,QQ自己搜啊。

还有就是对于主要目标,想办法加好友,微信微博QQmomo,要注意的是,朋友圈空间弄个半年,显得比较正常的。这种微信能买到,行业什么的,反正就是伪装成你们在一个圈子。或者伪装的符合你构造的身份。

侧写

结合前期收集到的信息,对主要目标测写,尽可能的熟悉目标一切,看完他的朋友圈、说说,看完QQ签名等等。只有足够熟悉,后边才不会显得突兀。

社工库很有用

一般会先在社工库跑收集到的有显著特征的用户,用密码撞库,这招很管用。

然后会在社工库搜索网站域名:xxx.com,因为会有员工用企业邮箱注册一些网站么。

主要跑网站管理、技术总监等信息。差一点跑到员工,去试OA,CRM,邮箱什么的。

钓鱼是杀手锏

别小看了钓鱼,对于企业这种干什么都要写邮件的,一封构造精心的钓鱼邮件,可能会是整个渗透的突破。

我常用的一些:

1、诱导下载恶意文档,有word,wps 0day,绑马的文件,VBS、JS马等。

2、直接诱导安装恶意软件。

3、构造钓鱼网页,诱导直接输入密码。

比如我要获取他的QQ,也就是所谓的盗QQ吧,真的这些年主要的技术是靠钓鱼。

4、构造钓鱼网页、诱导间接输入密码。

这个,比如我知道他访问A网站,我可以冒充A网站的人,或者直接高仿A网站的邮箱,给他发钓鱼邮件,诱导他输入A网站的密码,有点水坑攻击的感觉,然后结合密码分析,撞库其他的密码。有一点水坑的思路。

四、案例


案例一 :

收集某女士信息,已知手机号。

根据手机号可查支付宝、微信号等,根据支付宝转账验证真实名字,测出真实姓名。

结合名字、手机号,利用Google搜索,获得一份大学校友通讯录,包含了邮箱、住址、身份证号等信息。

结合社工库搜索手机、邮箱,xiaomi库中查询到常用密码。其实也就是名字缩写加生日。

案例二:

删某同行诽谤说说

分析此人,中年,经常看空间,开武馆的,没有安全意识。

找一篇有争论的武林文章(真实),截图发给他,附带钓鱼链接。

打开后模拟QQ空间登录,跳转到真实文章链接。

获取密码后,在他武馆旁边,用相同UA头登录。IP接近。删贴。

案例三:

社工某中学网站

分析收集信息,网站底部有开发公司。

访问开发公司网站,分析此公司为十几人小公司,不严格。

伪造QQ号,改昵称,年龄三十多,签名说说写关于教学的信息,加开发公司客服QQ,告诉他我是XX学校管网站的。顺带问他,重装电脑后,桌面的文件都没有了能找到不(适当装小白,以增加信任)。最后问他,因电脑重装系统,找不到密码了,校长让发篇新闻,比较着急,于是傻傻的客服就告诉你了密码。

案例四:

社工某公司

网站方向:收集信息,根据a.com在社工库,找到很多邮箱,但要微信验证才能登录,放弃。

利用账户,在业务网站登录,可测试其他漏洞。

另外有论坛,bbs.a.com。收集管理员帐号,社工库查询到管理员几个密码,排列组合试生日,进后台,0day getshell。进内网,收集运维密码,通杀。

案例五:

已知安全部门邮箱,伪造漏洞通报邮件(高仿高仿高仿),其中查看链接跳转到钓鱼页面。登录后跳转真实登录页面。也有跟他们老大聊,他说你随便试,经常有钓鱼演练,钓鱼没用的,刚说着,密码就到了~****

五、总结


所谓对于渗透测试的社工,主要在于收集信息,挖掘信息之间的关联,(商业调查的感觉),然后基于信息测试弱口令、撞库等。以及欺骗钓鱼。


社工部分参考来源:质云

作者:Whirlwind


版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢0发布评论

评论列表

发表评论

  • 昵称(必填)
  • 邮箱
  • 网址