信息来源:邪恶八进制信息安全团队(www.eviloctal.com
文章作者:fhod
说明:文章已发表于黑客X档案2007年第12期,转载请注明出处!

冷漠PS:爆强悍的一篇社工文章,看的我挺震撼的..

PS:因为事搁很久..有些细节和证据已经无法拿出来了..所有以下有部分是根据我的回忆来陈述的..喜欢社工的朋友边看边想也许就知道我是否在编造故事了..如果你是刚入门对社工并不了解的朋友就暂且把他当成是一个小说来看好了..

事情起因
一个偶然的机会..在一次帮助朋友盗一人的QQ的时候..查到此号码是另一人所赠送..也就是她现在的男朋友..通过查看某女QQ空间的留言肯定了QQ号码为198***2就是她男朋友..当时一看跟我QQ一样是生日号..然后就看了下资料上写着"一个退休的重量级黑客".因为某女的QQ位数为5位..而他的又是生日号..又自称是黑客..开始我还不怎么相信..就想我一定要把此生日号和这个5位号弄到手..
于是就开始了对198***2的调查,当时手里刚好有我们本地一个论坛的服务器权限..而且他又是常上网之人肯定也上此论坛
就在数据库里执行
SELECT * FROM [Dv_User] where [userim] like '%198***2%'
此命令是查询QQ资料包含198***2的所有用户.得到ID两个..宁宁 我本有情
得到MD5加密的密码..http://www.cmd5.com/ 解出明文密码为553***0

图1

Highslide JS


用得到的密码登陆论坛..翻看他所有回复过的贴子还有他在论坛和别人发送的短信.也未找到任何有价值的信息

这个密码不用看就知道是电话号码..很有可能是他家里的电话..刚好我手中有电信的数据..我们本地所有家庭电话只要我知道号码就能查..输入此号码..查到结果..图2

Highslide JS


"陈明新"很有可能是他父亲的名字..这点在之后的调查中经过证实..

我有一个习惯..无论是哪个QQ我都喜欢从交友中心来看他的资料..因为有些人缺乏安全意识..所以留的资料真实性在80%以上..但是现在直接从Q里看的话..会提示你不是高级用户...有的资料能看..有的会提示..所以我根据部分能看的抓了个包..构造出了个URL..然后根据此URL写了个小程序方便我以后的查询之用..这次也不例外

图3

Highslide JS


照片..和生日..和一些别的信息就这么容易到手了..也再次确认了.这个QQ绝对是他的生日号.因为他所填的出生年月跟QQ的数字是一样的..因为隐私问题图片我都做了处理..也许大家会说..只根据QQ和所填生日并不能完全肯定他就是这一天出生的人..因为他资料也提到过自己是"黑客"..所以他为了掩饰自己这些资料也许是根据他的QQ来填的..这点我也怀疑过..但在后来的取证中我搞到了他的身份证号..证实了这点.


在他详细资料个人主页看到这个地址http://b**n.51.com/  然后打开..用查到的论坛密码尝试着去登陆...很多人都有用一个密码的习惯..而这个所谓的"重量级黑客"也不例外..登陆成功..

图4

Highslide JS


在他相册里找到了一个非常有价值的信息.

图5

Highslide JS


计算机四级证书..当时看到这个我还以为这家伙真的很牛..不过在后来证实他确实啥也不会..真不知道这个四级证书怎么来的..也许是办的假证.也许是别人替考得来的把..暂且不管那么多

从此证书扫描件中得到姓名"陈宁"身份证号码:342126198*****0176.这也证明了之前通过密码查询到的"陈明新"跟他很有可能就是父子关系.

在有了一次密码正确的经历之后我尝试着用553***0这个密码去登陆QQ号..很可惜的是密码错误..既然密码不对..那我就来帮他修改密码..(在我做这些的时候QQ密码找回系统跟现在是不同的..)先来找回密码看下他的密码提问是什么..问题:我叫什么? 回答..我就试着写了他的名字"陈宁"提示结果已经发送至安全信箱..但信箱是多少我是不知道的..还是继续搜集资料把

根据http://b**n.51.com/ 的地址..又找到两个 http://b**n**2.51.com/  http://b**n***0.51.com/ 根据这几个网页注册的信息得到他手机号码为138567****0 小灵通0558522***5 EMAIL:c***t@ah163.com 抱着试一试的心态用得到的密码去登陆邮箱..可惜的是密码错误..

试下找回密码把...帐号就是c***t生日我们也知道了..顺利通过..当时的提问好象是跟QQ一样的..反正我是修改掉了他的密码..现在操作一下已经被他修改回来了..图6

Highslide JS


不过登陆进信箱后并未有看到QQ发来的确认信..

继续在baidu搜索c***t@ah163.com 图7

Highslide JS


根据图8返回的信息得到他所工作的单位在XX医院..联系电话为0558-51***95传真:0558-55***70

Highslide JS


图9上的信息也证实了他确实在XX医院的管理部工作.

Highslide JS


现在我手中已经掌握足够多的信息了..与是我就打算申诉他的QQ..大家也都知道申诉QQ是要知道他的5个之内的好友和历史密码的..历史密码我可以尝试用553***0但是好友我还没有..于是乎就在他QQ空间和QQ相册逛了一圈..选择了他留言里的几个好友..证件号码就用我之前得到的身份证号码..姓名也是用他自己的名字..只是申诉的结果发到了我的EMAIL里.. 到了晚上后进EMAIL看了下...结果已经出来了...申诉成功..当时激动了一把..赶紧修改了密码登陆他的QQ

在QQ网络硬盘里找到一些文件.. 图10  

Highslide JS


这家伙貌似还是个公安.之前查到的又是在某医院管理部..不知道他到底有多少个工作了..
通过翻看他信箱里的一些信件又找到另外一个EMAIL地址b**n5*1@126.com..因为是taobao发来的信件..这个EMAIL很有可能是支付宝帐户..
我来看一下关于此EMAIL的一些信息把

https://www.alipay.com/trade/i_credit.do?email=b**n5*1@126.com

图11

Highslide JS


又得到真实姓名"陈宁"..那么多的证据也表明了他的真实姓名确实是叫"陈宁"了..一般我在得到某人EMAIL时总喜欢用支付宝去查下看能否得到其真实姓名..在我跟好几个好友聊天时他们都很纳闷我是如何得到他们真实姓名和生日的..相信看了本文的你以后也知道怎么去做这些了

在拿4199病毒作者来做下演示把..他的资料我也是调查了不少时间..已经在4199病毒贴吧公布了

因为性质不同所以这里图片和信息就不做处理了

https://www.alipay.com/trade/i_credit.do?email=mengqiu_xu@126.com

图12

Highslide JS


到这里关于他的调查已经告一段落了..QQ也已经到手了..然后刚好朋友让我帮忙搞的那个5位的QQ4***3也在线..就跟她聊了起来..试图欺骗她.又赶紧做了个网页木马..做了下伪装..因为两者是恋人关系..我就说是我的爱情表白..送给她的礼物...可惜的是我有些太心急了..还没有了解她使用的什么杀毒软件..而且木马也没有做免杀处理..她来了一句有病毒..我只好说不好意思..我发错了..也许这一鲁莽的举动已经引起了她的怀疑..我就赶紧下线了..

第二天发现密码被找回去了.而且密码保护也被修改为..我喜欢谁?因为之前查到的三个51.com主页..有他写的日记..得到此女名字为"王鹃".试着找回一下..哈..运气真好..提示发送到安全信箱..可是信箱是多少还是不知道..我还是继续申诉把..到了下午..信箱收到一封腾讯的确认信..赶紧修改了密码上去..丫的资料也改了..在骂谁盗他的号...我也帮他修改了一下.."这就是你所谓的重量级黑客?"然后给QQ为4***3的又发了一个页面说这次做好了..绝对没毒..就下线了...过了一天..我又试图登陆的时候发现密码又被改了..我就又把他的号申诉了回来...就这样来回的我申诉..然后他找回..申诉成功了四次之后..我有点纳闷了...究竟他是怎么找回去那么快的...

而事情进展到此时..我那朋友跟QQ4***6也和好了..也不要求盗她号了..而我也已经玩够了..就加了QQ198***2问他是怎么那么快把QQ找回的,
这家伙就说他是腾讯技术主管..无论我怎么盗他的号都是没用的..而且还说他为腾讯远程打工..一天工资500元..我又问他在公安局是做什么的..他说自己是网警..然后我问他是怎么做的网警.他就说在2005年他入侵了我们本地电信局盗了所有的ADSL用户去刷泡泡堂点卷..使电信局损失几百万..后来的一天他自己喝多了酒投案自首了...开始我还真信了...然后我们两个做了朋友..每天就聊些技术上的事..但郁闷的事..每当我问他什么的时候他都避而不答...有时候回答的很慢..答应也不尽人意..

当时我和nowthk(可惜的是nowthk已经被抓了)两人黑了一些游戏箱子..那时候都在玩一个武林外传的游戏..刚好这个"陈宁"也在跟我玩一个区...我就告诉他我盗了好多这个区的游戏帐号..装备和钱不用愁...开始还好..我只给他一些帐号让他自己去扒..后来他生日..请我去吃饭..我也就去了..之后的几天就经常找我出来吃饭啊什么的..当面问我是怎么盗的..我就相信他把箱子的后台和密码给了他...没几天nowthk就问我..是不是我动了别的区的游戏号了..我就说我没有啊...他就说奇怪了..他合作的那个买家登陆的号都被人洗过了的..密码就我们三个人知道..于是我对他起了怀疑..问他也不承认...在加上之前讨论技术避而不答..我决定在对他进行次调查..

首先我用EST内部的一个漏洞利用做了个网马..(无敌的老婆mika写的)
图13

Highslide JS


当时自己测试是中马的..然后用webshell登陆在箱子登陆处加了个iframe.接着他找我要登陆密码..我就给了他个假的密码...没多久后.灰鸽子提示有主机上线..他中马了.

打开灰鸽子的远程监控..这家伙还在继续猜密码..完全不知道已经被我控制了..以前一直听他吹..这次我恶搞下他..首先打开了他视频..哈.被他发现了..盯着我看..然后控制了他鼠标..没多久他就发来信息说电脑被人入侵了..我假装不知道的问他.不会把..你那么牛谁敢入侵你.他当时正好跟一个浙江的MM在聊天..就随口告诉我说浙江的..还说自己开着追踪器..谁入侵他都知道..可他完全不知道这一切都在我的监视之下并被我截了图

图14

Highslide JS


之后我当然想见识下这么牛比的追踪器了.只见他从skynet下载了一个追踪器.下载地址为
http://users.skynet.be/submissionz03/ntp325.zip
这一切当然也逃不出灰鸽子的监控
图15

Highslide JS


下载完毕后他把文件名修改为"追踪器.zip"之后发给了我..说自己先去WC..用监视看到他还在继续猜那个后台密码..真够辛苦的.

图16

Highslide JS


既然这么牛比的追踪器到手了..我怎么着也得看下是什么东西把..不然也对不起这个"重量级黑客"的劳动成果啊

图17

Highslide JS


软件的使用和介绍我就不说了.不知道的google下...

在之后的几天监视中..发现箱子里的信确实是他动的..并且在5173.com拍卖 与是我启动了灰鸽子的键盘记录..
图18是鸽子记录下的

Highslide JS


5173.com的用户名是b**n密码同样是553***0

登陆看下是否正确图19

Highslide JS


因为我不能每天就这么监视着他..所以为了方便.我又上传了一个别的键盘记录..自动在他C盘生成个文件并保存所有的击键记录.

几天后查看击键记录发现这家伙在腾讯照片系统投简历 图20

Highslide JS


怪不得开始跟我说是腾讯技术主管..投了简历后再发给我看..图中又一次暴露了他的身份证号.
图21是他在腾讯照片系统的用户名和密码.其中138567***10是他本人的手机号(这点在第一次的调查中也已经得到)

Highslide JS


我在此前已经得到他支付宝帐号为b**n5*1@126.com.那就来用那个553***0登陆下taobao看看密码对不对把

Highslide JS


图22 登陆成功..又是这个白痴密码..它的功劳可够大的.. 用过taobao的应该都知道支付宝是跟银行帐户绑定在一起的..继续追下去没准能搞到他银行信息呢..登陆支付宝把..这个密码是不对了..可他提供了个找回密码的功能..图23

Highslide JS


可惜这个回答不对 图24

Highslide JS


不过这个错误提示可帮了我大忙"如果您忘记了安全保护问题答案,请点击 输入证件号 "

我在换一种方式找回.因为我已经知道他的身份证号码..试下看对不对把..图25  26密码找回成功并发送至信箱.

Highslide JS


Highslide JS


信箱密码现在是不知道的..一样用密码提示找回..这次他的提问也是我叫什么?回答.."陈宁"不对..就随手试了下"宁宁".(后来我又用这个回答试了下taobao的也一样成功)成功修改掉密码 用修改掉的密码登陆信箱
图27

Highslide JS


用信箱中的连接修改掉登陆密码..同样的方法找回支付宝支付密码 图28

Highslide JS


登陆后查看支付宝帐户信息 图29 很可惜的是银行信息看不到

Highslide JS


别忘了我们还有一个5173的没有利用..用5173卖过游戏装备的应该都知道..交易金额达到一定数目的时候,自己是可以申请提现的..在他以前提现的记录中得到他银行卡号为"9558801311******106"

下面就是要弄到他银行密码了..通过灰鸽子远程监控知道他的密码是7位的,,工行的密码必须是数字和字母组合的..这次完全是靠猜了..已经得到他那么多信息想猜出密码也不是个难事..猜解了几次之后..猜出密码为"b**n**2"...他的ID加生日. 也是他在武林外传游戏中的游戏帐号..武林外传的游戏密码也被我搞到了..不过我之前也未提到..

看看银行成功登陆后的截图把! 图30

Highslide JS


事情到这里也算告一段落了..我们得到的有他的姓名,生日,手机,电话,工作单位,EMAIL..父亲姓名.几个51的帐号和密码..5173的帐号..支付宝..银行帐号和密码...也算是不小的收获了..

事隔很久后因为一些别的事..我两又吵了起来..这次我把我调查的结果全发给他了..估计他也挺郁闷的把..之前我一直装不知道他的底细并跟他保持距离..发给他那些截图和证据之后这家伙也无话可说了
图31  32

Highslide JS


Highslide JS


相信看完本文后的你一定感到非常的不可思议..其实完成整个社工过程也完全是因为其本人使用同一个密码所造成的..就因为是如此弱智的密码.所以我才那么顺利的搞到他所有的密码.当然社会工程学所带来的危害还不仅是这些..
Technology | Comments(1) | Trackbacks(0) | Reads(10107)
webshell Email Homepage
December 30, 2007 00:57
很遗憾的是,那个号码已经过期了!
不过fhod也算社工的牛人了!
呵呵! 看来我也要加油了,.
干巴爹!
Pages: 1/1 First page 1 Final page
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive