标题:
社会工程学轻松拿到8位太阳QQ
[打印本页]
作者:
wmmy
时间:
2008-8-20 11:03
标题:
社会工程学轻松拿到8位太阳QQ
实在闲着无聊,没事检测几个网站打发时间。正好前几天做了个黑页,也想挂出来让大家欣赏一下……呵呵o(∩_∩)o...
于是正好就检测到了这个网站:
www.chinagongyi.org
。很轻松就进了后台,利用数据库备份拿到了 webshell。左看右看一时半会提不了权,不过发现服务器上有不少网站,于是找到数据库下载来看看有没有什么好利用的信息。
在一个数据库里发现了这个 yuangong 表:
http://www.520hack.com/Article/UploadFiles/200808/20080813102751758.jpg
这里储存了姓名、性别、年龄、手机、地址、密码还有 QQ 号。我一看有一个 7 位的,三个 8 位的就有点心痒,琢磨着怎么把它们弄过来……我最近越来越坏了,(*^__^*) 嘻嘻……
于是立马去 account.qq.com 找回密码,先还要用手机发短信验证……舍不得孩子套不着狼,我咬咬牙,发了短信……呃,都是第一代密保,可惜 7 位那个猜不出答案,伤心ing……
不过还真有人设置了白痴的问题:我叫什么名字?哈哈,那不是数据库里记录的明明白白的吗?
赶紧把掌握的信息记下来:
QQ:302066**
密码保护问题:我叫什么名字?
答案:贺*
接下来是邮箱了,这个也简单,用 QQ 一查找,看一看那个人的个人信息,如图:
http://www.520hack.com/Article/UploadFiles/200808/20080813102751563.jpg
呵呵,邮箱也知道了。
邮箱:[email=he***
sn@sina.com
]he***
sn@sina.com
[/email]
什么?你说不知道密码?回头仔细看看:密码不也在数据库里吗?一般人对 QQ 比较重视,用的都是独立密码,但对邮箱就不怎么在意了。我去
www.cmd5.com
查询了一下,顺利得到密码。去新浪一试,果然进去了。
邮箱密码:82*12
顺便猜出生日:82年*月12日
接下来就可以改密码了,但是我们先不急着改,必须有十足把握才改。我们先去邮箱里看看有什么好东西吧。
http://www.520hack.com/Article/UploadFiles/200808/20080813102751813.jpg
你看出什么了吗?没价值?那你就大错特错了。“智联招聘”,既然是招聘,就一定会填写个人信息吧?而且一定是真实完整的!
于是我毫不犹豫登陆了那个网站,用户名是邮箱,密码还是老密码……
偶的上帝,偶太幸福了……
……
男 | 未婚 | 1982 年*月生 | 户口:陕西西安 | 现居住于北京
3年工作经验 | 党员 | 身份证: 1308031982**12**16
13466****44(手机)
E-mail: [email=he***
sn@sina.com
]he***
sn@sina.com
[/email] |
http://user.qzone.qq.com/302066
**
求职意向
期望工作性质:全职、兼职
期望从事职业:销售、高级管理、建筑/房地产/装修/物业、市场/市场拓展/公关、编辑/文案/传媒/影视/新闻
期望从事行业:金融/银行/投资/基金/证券、汽车/摩托车(制造/维护/配件/销售/服务)、娱乐/体育/休闲、航空/航天、广告/会展/公关/市场推广
期望工作地区:西安
期望月薪: 4001-6000元/月
目前状况: 我目前在职,正考虑换个新环境(如有合适的工作机会,到岗时间一个月左右)
……
多么完整的个人简历!至此,QQ 第一代密保的所有信息全部到手了!
QQ:302066**
密码保护问题:我叫什么名字?
答案:贺*
邮箱:[email=he***
sn@sina.com
]he***
sn@sina.com
[/email]
邮箱密码:82*12
证件:1308031982**12**16
接下来……改掉密码……改掉密码保护问题……改掉安全邮箱……哦也!这个 QQ 号彻底归我了!
http://www.520hack.com/Article/UploadFiles/200808/20080813102752514.jpg
http://www.520hack.com/Article/UploadFiles/200808/20080813102752179.jpg
哇!8 位 QQ 号!还差 6 天 29 级!黄钻 5 级!知道所有密保信息!你说值多少元宝?赚了赚了……
好了,正文到这里就结束了。下面是我要说的一些题外话。
先重弹一下老调:我写这篇文章是为了让大家树立起防范社会工程学的意识,而不是教你去盗 QQ。最后我把号还给了人家,就收了 30 块钱,补偿一下我的话费和一下午的时间……这应该不算黑吧?
当然,和人家用木马批量盗 Q 相比,这个效率实在是低了点。而且这个号其实被申诉回去的可能性还是比较大的。但是在入侵中,辅以一些社会工程学,往往能迅速扩大战果。
正所谓信息技术,互联网最大的意义就是信息的共享和交流(而不是玩网游挂 QQ ……)!谁掌握更多的信息,谁就是胜利者!黑客不仅仅是技术,也包括开阔的思路、灵活应用的能力。
作者:
chengyichen
时间:
2008-8-20 18:13
楼主很强大。。。。。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2