设置背景图片
模块透明度调整:

token安全之任意密码重置

时间:2018-2-26   作者:H0rk4   浏览:440°  评论: 0 
时间:2018-2-26   分类: 社交工程    热度:440   评论: 0
前言 偶然间挖了一个漏洞是密码重置,挖掘过程很有趣,可以参考下。 挖掘过程 在说明之前我们可以先走下正常流程,这样才方便查漏~ 正常流程 第一步骤: 正常填写完,点击下一步发送请求: POST /[URI] HTTP/1.1 Host: [Host] User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: a...

阅读全文>>

热门 实战社工拿下“侦缉队”黑阔团队群过程

时间:2018-2-13   作者:H0rk4   浏览:732°  评论: 7 
时间:2018-2-13   分类: 社交工程    热度:732   评论: 7
事情是这样的,昨天下午我们都在群里吹牛逼,然后这个叫侦缉队的黑阔大佬就说了一句我不爱听的话,导致我们对着干了起来 然后我和他们说日Vce的站,因为Vce的站前几天让日过了,昨天他自己又换了一套源码,这个叫侦缉队的黑阔大佬不日,我就自己挂了一个txt的页面。 这个侦缉队的黑阔大佬看到我挂了页之后,就没有说话,可他团队的人不得了了,一顿粑粑我,正好今天闲着无聊,就去他群里找管理简单的试了一下! 发现他管理居然是个傻逼。这个都是小事生事情,重要的是这个傻逼居然在他们群里还是管理,接着就发生了下面的血案! ...

阅读全文>>

热门 社工-利用老思路 拿下Vce团队官网

时间:2018-2-11   作者:H0rk4   浏览:579°  评论: 3 
时间:2018-2-11   分类: 社交工程    热度:579   评论: 3
今天Vce团队领导者在我群里频繁的发他官网,然后就有了下面这些事情发生! 首先我就是为了检测玩玩,并非要去黑他! 利用小号联系到了Vce领导者  下面是我和他的对话! 他说他去看一下  幸好我马子里面没有中文 估计他是看不懂 就直接给我上传了 为了不被他发现 我在他后台又添加了一个大马 就算他删掉了所谓的广告页面 我还是可以再次拿下他官网的 这个就...

阅读全文>>

让好友运行不免杀木马,(社工)

时间:2018-2-3   作者:H0rk4   浏览:411°  评论: 0 
时间:2018-2-3   分类: 社交工程    热度:411   评论: 0
  菜教程,只供小菜欣赏,大牛们就免了吧。 2018年1月23日晚8点 小组群(群号:1502148)某人发来一个QQ,说这人会社工,大学学的心理专业。 他说这个人正在社他,让我帮忙反社下。 当时也无聊,操起键盘开始吧。 加了好友,突然想起来了自己的个人资料和空间的日志,会暴露自己的。 然后赶快让某人吸引着他的注意力,自己关掉了QQ空间改了资料,查看空间访客 确认对方没有发现。 接着发现对方个性签名中写的:欢迎心理咨询,1小时前我已与一个心理专家成为好友。 那就...

阅读全文>>

热门 怎么通过QQ号获取绑定的手机号(社工)

时间:2018-1-9   作者:H0rk4   浏览:1511°  评论: 1 
时间:2018-1-9   分类: 社交工程    热度:1511   评论: 1
导语 偶有奇想,我们可以通过手机号来搜索获取其对应的QQ号,那么,反过来呢? 一,缩小范围 由于手机号属于隐私数据,腾讯QQ并没有直接给出通过QQ号查找对应手机号的接口。 国内的手机号有十一位数字,从数学的角度上来说,包含了10^11种可能。如果遍历这10^11个数据,通过QQ中手机号查找QQ号的接口来寻找,未免太过费时费力,根据网上查到的资料,同一个QQ号,在十分钟内只能进行30次查询(未验证)。因此,直接遍历的方法不现实。 在这10^13个数据中,包含着大量的可去除的无用数据。我们很容易就能想到,去除无用数据,缩小范围。 1,通过“找回密码” ...

阅读全文>>

『物理社工』五一回家的“小插曲”

时间:2018-1-5   作者:H0rk4   浏览:392°  评论: 0 
时间:2018-1-5   分类: 社交工程    热度:392   评论: 0
    此文章是老文章了 分享给大家学习! 4月30号坐车回家,坐在回家的客车,闭着眼睛想睡一会!虽然我旁边做了一位小美女! 但是我对太平公主没什么兴趣继续睡觉中……… 突然感觉身边好吵,我就睁开眼睛来看,结果发生一件很闹心的事,大致是这样的: 我旁边做的那位小美女,不知道什么下车了,然后上来个女的,属于少妇的那种,然后可大声说话,我提醒下:小姐,车里不要大声喧哗…结果她还不听,还说:要你管,你算什么东西……… 我没有说什么沉默不语!!! 你以为没什么事?那你错了!……哼哼,打扰我睡觉了!然后还骂我……… 斜眼看看她在摆弄...

阅读全文>>

双号进行社工让客服帮助解析

时间:2018-1-5   作者:H0rk4   浏览:361°  评论: 0 
时间:2018-1-5   分类: 社交工程    热度:361   评论: 0
偶然想的一个思路 亲测成功几率在百分之70以上! 首先准备两个小号 第一个先去找客服问会员帐号,过一会再用另一个号去找客服 问他刚刚有没有一个人来找他要会员帐号 他如果说有 你就说那人把你网站黑掉了 把IP从XXX.XXX.XXX.XXX(你要找客服解析的IP)换成XXX.XXX.XXX.XXX(目标网站的IP) 让他帮你解析回来 就说网站被那人解析成他的站了,密码也被改了,邮箱也被改了 没办法找回密码解析,没有办法了才来找她 客服如果说提供证件照  就装作很急 说身份证也没在身边没办法 然后你再用你那个问他会员帐号的小号给你现在正在和客服聊天的小号聊天 发挑衅...

阅读全文>>

社会工程学的几个简单技巧

时间:2017-12-29   作者:H0rk4   浏览:373°  评论: 0 
时间:2017-12-29   分类: 社交工程    热度:373   评论: 0
    社交工程已经成为目前最盛行的攻击方式之一,而且在一些较大的数据泄漏案例中也总是出现。例如,2011年 RSA breach就遭遇了定向钓鱼和加载了漏洞的Excel文件。因此,对于有能力模拟真实攻击的企业而言,社工渗透测试应该成为每个渗透测试工具包的强制性 策略。 社工行为非常依赖心理学,有很多非常可疑的诱饵,可以让社工人员劝服人们从事某项操作。例如,Robert Cialdini在其著作《影响力:说服心理学》(Influence: The Psychology of Persuasion)中描述了六种刺激人们行为的动机: 1、...

阅读全文>>

社会工程学之反查技术

时间:2017-12-29   作者:H0rk4   浏览:383°  评论: 0 
时间:2017-12-29   分类: 社交工程    热度:383   评论: 0
什么是反查技术?即反侦查技术。在黑客攻击中,最重要的一部分不是成功侵入主机,而是清除痕迹,不要让管理者发现被侵入及数据被伪造。同理,社会工程学也有这样的概念,那么,我们得清除哪些痕迹以免遭网络0察(以下称之为网警)的发现?这一部分我们从网警角度来看问题,看看他们如何来能否找到社会工程师的蛛丝马迹。或者一句玩笑话:他们无法那么轻松找到一点痕迹。这里我们以案例来讲解,请注意,这是虚拟案例,不当之处,敬请指正。   现场   <<谁动了企业的数据?>> 数据存储服务部 小张   小张正忙着登记取出数据的客户,这时内线突然响起。   小张:你好,数据存储服务部。   ...

阅读全文>>

社会工程学之信息刺探

时间:2017-12-29   作者:H0rk4   浏览:282°  评论: 0 
时间:2017-12-29   分类: 社交工程    热度:282   评论: 0
  一、善用你身边的信息   尽量利用现有所知道的信息,这些信息将能处理好突发事件,此类信息指的是规章、制度、方法、约定。规章,指的是一个行业的规章,我们可以认为是行规,或是内部约定,比如,货摊A为了抢掉货摊B的生意,故意低压低价格来龚断是不对,违反了不正当经营法了。 所以我们要尽量了解各行各业的之间的此类信息,比如校园,只有领导层内的人员才会拥有一份全校的师生的联系名单,服务行业通常有这样和那样的内部约定,了解此类信息对我们非常有利。   除了我们必须知道那些方法外,还需要的是业内术语。看到这儿,小菜一定会问什么是术语了,它主要有什么用?嗯,业内术语即不同行业之间的...

阅读全文>>



本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除  

Copyright © 2017-2019  H0rk4's Blog - 致力关注于黑客技术、渗透测试、网络信息安全、1980黑客团队   站长: H0rk4  主题1980黑客团队   H0rk4