一个猥琐的社工思路
总结最近搞某站的过程。
主站是dz x2.5,独立服务器,没插件漏洞。
去查了whois信息,得到了站长的邮箱,是163的。找回密码的问题是:我的出生地是?
根据域名注册信息里提供的邮编知道了站长所在地,填上后成功的重置了密码。然后用邮箱找回了域名的管理密码,进去看解析记录,是VPS。然后扫了下C段,找了个IP相近的站,加了站长QQ,问他VPS哪儿买的(理由:感觉速度不错想用用看),站长很热心的告诉了我,还说了一些关于网站推广的技巧,好人呐!然后去了那个VPS服务商的站用邮箱找回密码,直接连进主机拖库了。
以上。
主站是dz x2.5,独立服务器,没插件漏洞。
去查了whois信息,得到了站长的邮箱,是163的。找回密码的问题是:我的出生地是?
根据域名注册信息里提供的邮编知道了站长所在地,填上后成功的重置了密码。然后用邮箱找回了域名的管理密码,进去看解析记录,是VPS。然后扫了下C段,找了个IP相近的站,加了站长QQ,问他VPS哪儿买的(理由:感觉速度不错想用用看),站长很热心的告诉了我,还说了一些关于网站推广的技巧,好人呐!然后去了那个VPS服务商的站用邮箱找回密码,直接连进主机拖库了。
以上。
关于作者
评论92次
放了半年的蜜罐没啥起效,网安部门都准备撤掉vps,结果一货就送上门来,我当然是灰常热心的告诉他所要的任何信息,这会同事应该在去查水表的路上了
这样的行啊!163邮箱密码改的话应该就没xi了
这样骗人家合适么。。
水个评论,没事的吧
赞一个了
社工,有时候威力很大,但要思路到位。
人才是最大的漏洞
确实很猥琐! 社工就是欺骗的艺术
膜拜一下
简单实用!
这属于 社工手法了
难度xi数大啊
嗯…是挺暴露的。在常规手法拿不下的情况下只能出此下策了~
啧啧,楼主厉害!这是让我以后谁都不敢相信的节奏啊
域名与VPS不是一个服务商吧 域名都可以找回来
正常的渗透不能这么搞 应该在不破坏的基础上来做 这个太暴露了
+1
2014年来回复的我
准确的讲,干过。
很猥琐。。。
目的明确,拿库走人! 也真不小心,写了邮箱,安全问题那么简单!
此处关键在于:网站拥有者用来注册域名所用的邮箱、和购买VPS所用的邮箱是同一个,所以可以从vps的管理界面寻回网站管理密码。不过这思路没的说,厉害!