妙用社会工程学入侵网站
网络安全
看到很多朋友在《电脑报》上奉献自己的安全秘籍,心中痒痒的,我也来给大家上一道“私房菜”——用社会工程学入侵网站。
我用黑客圈子里面共享的一个0day利用工具,检测了一个大型的点卡网站,得到了管理员的用户名jekeywang和密码78041xxx(已经通知该网站并修复了漏洞),但却找不到网站后台,找不到后台得到管理员账号也没有用,怎么办呢?
我扫描了网站所在的服务器,发现该服务器上只有该网站且服务器开了21端口,用获得的管理员账号登录FTP,不成功。就这样放弃了?不!社会工程学“出马”。在Google里搜索用户名jekeywang,得到好多资料(图1)。
哇!这位兄弟注册了很多会员嘛,我找到了他的博客,用得到的用户名和密码登录,成功了,找到了他的Email:jekeywang@163.com。赶快用用户名和密码登录邮箱,哈哈,又成功了!在邮箱中搜索就发现了jekeywang的重要信息(图2)。
这次我在FTP登录界面中用他的用户名+QQ号来登录,不成功。用用户名+电话登录,成功了!这样就拿下了该点卡网站服务器的FTP权限。最后我通知了服务器提供商和网站的站长及时地进行了安全补救。
现在很多网络管理员,在网络上都是只使用一个通用的ID。这个习惯非常不好,黑客可以通过社会工程学来间接入侵,希望大家多多注意。