当前位置:免费黑客网-黑客技术,黑客工具,黑客联盟,黑客基地,黑客网站,黑客论坛如何盗qq号黑客技术黑客入侵
日期:2017-04-20 10:24:15  来源:本站整理

小社RR网数据库

 话说某日闲来无事,我便复习一下以前危险漫步的文章,“一个论坛账号引发的故事”一文,不禁感慨万千。文中大意是:拿到某站的WebShell之后,下载了它的论坛数据库;由于库中有user_ email字段,便拿破解出的MD5密码尝试登录sina邮箱,成功:接着上淘宝、QQ邮箱、支付宝,还有使用Google搜索该账号又进入其sohu邮箱;最后是天涯、Mop论坛……几乎是经典的“一个密码走天下”反面教材例子。最后,作者说了句“想必大家也都看到社会工程学的恐怖之处了”,真是令人唏嘘不已啊!

貌似与真正的技术不沾边儿的“社工”,其实威力绝对不容小觑!有时,当你的入侵检测走人一个“死胡同”时,那灵光乍现的巧妙一“社”,往往会在瞬间击破防守者看似强悍的城门。想必大家还对前段时间发生的“脱库”事件记忆犹新吧?你的账号被暴了么?你的密码改了么?呵呵,随后网上流传过一阵各种数据库(后来貌似全被和谐了),我很偶然地弄到了RR网的一部分(就不告诉你从哪儿弄的),目的何在呢?第一,想从中查看一下是否自己的信息也在泄露乏列(答案是否定的)。第二,留着,将来万一遇到哪个网站无法下嘴的情况,可以从中查一下是否有该网站管理员的信息,因为对应的密码很可能与网站“形似”。不过在复习了“一个论坛账号引发的故事”一文之后,我又忽然有了第三个可爱的想法——做个“社工”小测试。小“社”RR网数据库的思路“RR网500w”数据库压缩包大小是50MB,解压之后是160多MB的一个.txt文本文件。如果直接双者使用Windows的记事本来打开的话很容易卡死,我从网上找了个分割电子书的小软件将它以1MB为单位分成若干个小文件,这样就可以直接双击用记事本来打开了。虽说其中存储的是RR网的登录账号和密码,但由于账号的形式都是邮箱,像QQ、126、sohu、yaboo等,我的思路是用该密码去尝试登录邮箱,成功的话再从中看一下是否能得到更为敏感的信息……由于账号的信息太海量了,我只做个很小规模的社工测试——选取其中1MB的账号信息,只测试其中的126邮箱,而且只是一小部分。方法非常简革,就是将“@126.com”之前的用户名复制进126登录界面的“账号”,“密码”就用RR网账号的密码,然后点击下面的“登录”按钮就OK了;结果真是令人大吃一惊,不到一个小时,我就拿下了好几个有效的邮箱,在此就略举几例,后果真的是很严重!  小“社”之一:用真实姓名拼音作密码账号:httxxxxx120@126.com,密码:hanxxxg

这是一个早在2005年就注册的“老”邮箱,邮箱积分是2695,等级也达到了21级,看来是126的忠实用卢,竟然还提示“安全系数高”!里面的信息也足够丰富,不仅显示出主人的姓名“韩xx”,而且有其工作单位“潍坊xx公司”。再看一下“收件箱”,虽然只有两页的信息,但其中有“Google密码帮助”、“淘宝邮箱验证”、“凡客诚品账户”、“zhaopin.com注册用户名和密码”、“安智网Email验证”及多个社区的地址验证等敏感信息,而且还暴露出另外一个关联邮箱(可直接登录)和该用户的手机号码。

继续在“已发送”中查看一下,都是些工作上的重要邮件,比如其中有一封“韩XX新客户资料”的已发邮件,附件中就有一个Excel电子表格附件;下载之后打开,发现其中保存着130多个工作客户的详细信息,包括公司名称、姓名、联系手机及对应的网站等信息。试想:如此重要的客户信息如果被竞争对手拿到了,会对自己和公司造成多大的经济损失呢?还有,通讯录中接近30个经常联系的邮箱地址及对方的真实姓名;“附件”中有若干重要的私人资料,“红旗邮件”中保存了公司的机密信息,“草稿箱”也有客户资料、自己的QQ号码(可仿照下面的例子在QQ上“添加联系人”,会得到更丰富的个人信息,甚至其QQ空间也不加密,其中有其真突生活照——喜欢喝洋白酒的戴眼镜帅哥)……

小“社”之二:用QQ号作密码

账号:lyf_xxxxx14@126.com,密码:36xxxxx58

2006年注册,等级为16,主人真实姓名是“刘X飞”;“收件箱”中有“人人网注册”和“密码找回”邮件:“已发送”中有一封标题为“照片”的邮件,八成是其女朋友的,好在不是艳照,否则很容易再出个“XX门”事件;还有一封是自己的工作总结,下载打开后得知其工作的相关信息,比如何时进的xx公司、在xx管理都工作……

将该密码在QQ中尝试“查找”,果然有这个用户,网名是“淡xxx味”,而且其头像为繁体字“飞”(与其姓名的最后一个字是吻合的);点击“查看资料,发现“姓名”处是其真实姓名的首字母缩写,故乡是“中国河北承德”,所在地是“中国北京海淀”,与工作总结中的信息也吻合,另外还有性别、年龄、农历生曰、血型、星座、学历等详细信息……

小结

例子不在多,我最想说的是:数据库被暴不是你的错,但是,全国人民都知道要修改密码而你却仍无动子衷就不对了。其实之前我还在RR网上测试了一下这三个账号,都无法登录,说明已经修改过密码了;不过,要改就得改个彻底,就像这些126的邮箱密码,结果导致了二次严重泄密。其实归根结底就是一句话——“一个密码走天下”是行不通的,地球真的是很危险滴。

 

Tags:

作者:佚名

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接- 网站地图
Copyright © 2016-2018 Xbhack.Com. All Rights Reserved .
本站内容来源网络收集,仅供用于黑客技术安全学习参考,请遵守相关法律法规
打造国内最大的黑客技术资源免费发布站
提供最权威的黑客攻防教程,黑客安全工具
免费黑客网-黑客技术,黑客工具,黑客联盟,黑客基地,黑客网站,黑客论坛