实战渗透 | 情侣空间钓鱼邀请，撸它

前两天收到一情侣空间的邀请 一脸吃惊

长这个样子

当时在火车上，随便拿手机看了看 踩了下点

后台及简单弱口令 无果

反手一个XSS Fuck？

好吧 好吧 惹不起 …..

今天 2019.07.21 天气很热，砖头也很烫手 烦躁

想起这个钓鱼站，

已知信息

后台地址、管理员QQ、宝塔面板 哦，还知道这个B是个钓鱼站………….

宝塔自带waf 咱也不敢刚 咱也刚不动

爆破inG

倒杯二锅头 让自己清醒一下

………….

半斤下肚 等等 注出来了….

毕竟Qiong 还是段总的好使 手动@段总

后台进入ing

哎哟 看看 这臭不要脸的声明:

此程序是一份仅提供Web编程模仿技术研究，社会工程师水平锻炼，网络防骗流程深入研究的一份程序，并且程序性质不为公开性。

登录日志，先看看管理员的位置

国内的 大概或许可能不是代理

再看看这一堆的页数 全是刚刚爆破的记录 难受 还没有删除功能….（破玩意）

系统第一次登录时间为7月7 然而数据只有今天的 看样子是每天都在删除

上钩的人太多了 从7.21下午4点 到晚上10点 短短六个小时就100多条SJ

四处逛逛 无上传 放弃后台..

不是DBA 就连密码都跑不出来

毕竟是宝塔 牛逼。

尝试sql写shell 还无法执行非sql语句

宝塔888数据库密码 看了下自己的 。。。路径名随机 放弃

苦苦挣扎一小时 彻底放弃。

撸下后台，也不知道有木有该地区管辖的网警 可以联系我~

当我今天（7.22）再看的时候 果然，猜得没错 昨天的已经被清除了

而截止到今天8.31 已经有77条了

管理员也是够辛苦的 凌晨了还在登录

聊一聊社工

再说说社工，对于网络渗透攻击，社工只能取其部分意思，最重要的两种手段：撞库、钓鱼。

伪装

社工的话，要选定几个主要目标，或者你混入他们的圈子，你可以伪装成员工加公司QQ群（QQ群文件往往有意想不到的收获），至于怎么加群，QQ自己搜啊。

还有就是对于主要目标，想办法加好友，微信微博QQmomo，要注意的是，朋友圈空间弄个半年，显得比较正常的。这种微信能买到，行业什么的，反正就是伪装成你们在一个圈子。或者伪装的符合你构造的身份。

侧写

结合前期收集到的信息，对主要目标测写，尽可能的熟悉目标一切，看完他的朋友圈、说说，看完QQ签名等等。只有足够熟悉，后边才不会显得突兀。

社工库很有用

一般会先在社工库跑收集到的有显著特征的用户，用密码撞库，这招很管用。

然后会在社工库搜索网站域名：xxx.com，因为会有员工用企业邮箱注册一些网站么。

主要跑网站管理、技术总监等信息。差一点跑到员工，去试OA，CRM，邮箱什么的。

钓鱼是杀手锏

别小看了钓鱼，对于企业这种干什么都要写邮件的，一封构造精心的钓鱼邮件，可能会是整个渗透的突破。

我常用的一些：

1、诱导下载恶意文档，有word，wps 0day，绑马的文件，VBS、JS马等。

2、直接诱导安装恶意软件。

3、构造钓鱼网页，诱导直接输入密码。

比如我要获取他的QQ，也就是所谓的盗QQ吧，真的这些年主要的技术是靠钓鱼。

4、构造钓鱼网页、诱导间接输入密码。

这个，比如我知道他访问A网站，我可以冒充A网站的人，或者直接高仿A网站的邮箱，给他发钓鱼邮件，诱导他输入A网站的密码，有点水坑攻击的感觉，然后结合密码分析，撞库其他的密码。有一点水坑的思路。

四、案例

案例一 ：

收集某女士信息，已知手机号。

根据手机号可查支付宝、微信号等，根据支付宝转账验证真实名字，测出真实姓名。

结合名字、手机号，利用Google搜索，获得一份大学校友通讯录，包含了邮箱、住址、身份证号等信息。

结合社工库搜索手机、邮箱，xiaomi库中查询到常用密码。其实也就是名字缩写加生日。

案例二：

删某同行诽谤说说

分析此人，中年，经常看空间，开武馆的，没有安全意识。

找一篇有争论的武林文章（真实），截图发给他，附带钓鱼链接。

打开后模拟QQ空间登录，跳转到真实文章链接。

获取密码后，在他武馆旁边，用相同UA头登录。IP接近。删贴。

案例三：

社工某中学网站

分析收集信息，网站底部有开发公司。

访问开发公司网站，分析此公司为十几人小公司，不严格。

伪造QQ号，改昵称，年龄三十多，签名说说写关于教学的信息，加开发公司客服QQ，告诉他我是XX学校管网站的。顺带问他，重装电脑后，桌面的文件都没有了能找到不（适当装小白，以增加信任）。最后问他，因电脑重装系统，找不到密码了，校长让发篇新闻，比较着急，于是傻傻的客服就告诉你了密码。

案例四：

社工某公司

网站方向：收集信息，根据a.com在社工库，找到很多邮箱，但要微信验证才能登录，放弃。

利用账户，在业务网站登录，可测试其他漏洞。

另外有论坛，bbs.a.com。收集管理员帐号，社工库查询到管理员几个密码，排列组合试生日，进后台，0day GETSHELL。进内网，收集运维密码，通杀。

案例五：

已知安全部门邮箱，伪造漏洞通报邮件（高仿高仿高仿），其中查看链接跳转到钓鱼页面。登录后跳转真实登录页面。也有跟他们老大聊，他说你随便试，经常有钓鱼演练，钓鱼没用的，刚说着，密码就到了~****

五、总结

所谓对于渗透测试的社工，主要在于收集信息，挖掘信息之间的关联，（商业调查的感觉），然后基于信息测试弱口令、撞库等。以及欺骗钓鱼。

社工部分参考来源：质云

作者：Whirlwind