信息搜集利用与惯性思维

  0x00 前言

  有时候我们会在网络上留下自己的信息,但是放在互联网上的信息是否能够保证自己的财产安全?看看社工爱好者如何使用网上留下的信息利用人们的惯性思维对其目标进行攻击

  0x01 准备

  目标对象:某网站官网

  目标:获取到该站所有数据

  手段:通过信息收集找回邮箱密码进行攻击

  0x02 实战

  第一步还是习惯性的Whois。

信息搜集利用与惯性思维

  发现一个QQ邮箱,加他QQ发现微博有他的名字。

  

信息搜集利用与惯性思维

  得到真实姓名 段*辉

  开始收集信息:

  QQ:69***13

  名字:段*辉

  QQ签名:良师益友 朱*超

  邮箱idh***er@126.com

  用户名:bl***domain

  生日198**216

  尝试找回一下邮箱的密码,发现一个密保邮箱。

  

信息搜集利用与惯性思维

  推测大概是用名字做用户名了,在进入china.com.cn进行找回密码。

  

信息搜集利用与惯性思维

  使用前面的信息总结最后发现是可以直接修改密码的,并找回了126密码。进入邮箱发现存在网站整站备份和找回了DnsPod密码,拿到解析权限。

  

信息搜集利用与惯性思维

  通过查看前面下载的整站备份查看到了数据库链接密码,但是却无法进行外链。

  

信息搜集利用与惯性思维

  

  继续翻看源码的时候突然发现了PHPMyAdmin。

  

信息搜集利用与惯性思维

  最后导致最新的数据被脱离。

  

信息搜集利用与惯性思维

  0x03 总结

  建议用户们不要使用弱口令式的密码找回,并不要把备份放置在邮箱内,以防泄漏。使用Dnpsod的时候可以绑定D令,可让黑客无法找回密码

原文地址:https://www.77169.com/hack/201602/224189.shtm

本文由 华盟网 作者:怪狗 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。