社会工程学 一则网吧留言板XSS引发的社工恐怖血案

Posted 2021-04-29 EMLab攻防实验室

0x01 前言

---

故事发生在2018年12月21日晚上，准备第二天早上赶火车去其他地方约小妹妹玩耍，就在网吧包宿住了下来，上了机器，点支烟，习惯性地开始对网吧内网进行安全测试。

0x02 偶遇

---

没两分钟就发现了很多问题，网吧核心交换机弱口令，MSSQL数据库sa用户弱口令。

还发现网吧有一个留言板

第二支烟，慢慢翻看留言板，我想这里可能存在XSS漏洞，但是忽然我发现一串熟悉的字符串...

0x03 调查

---

熟悉的XSS平台，去找到平台的管理员，PY了一波，找到了绑定的QQ号。

然后又找了几个裤子老板，查询了一下这个QQ号的历史密码。

简单的用他的QQ邮箱和第二条历史密码尝试登录ichunqiu，发现他并没有绑定手机号，也就是说在ichunqiu改版之前他并没有登录过春秋，我找了个接码成功绑定，Bingo！

又用邮箱登陆了他的淘宝，但是发现淘宝也是没有使用过的状态.....

继续用相同的密码成功登陆了百度贴吧，但是需要短信验证码，但是这上面显示的183开头的手机号和我们之前获取的历史密码中的159开头的手机号并不是同一个，摸不清头脑....

思路似乎断了....但是想起还有REG007这个强大的平台，于是乎查询了一波。

尝试登录他的天翼云账号，发现绑定了183手机号，简直美滋滋。

继续用现用手机号登陆了他的学信网，发现一个X兴的人名，和之前获取的X帝火又是两个人名....头大，往下翻，发现绑定的身份证出生年是1976年.....？？

经年龄和面容推测，此人为X帝火的爸爸，这时我通过他的第二条历史密码和他的真实姓名猜测出了他的现用常用密码，并成功登录了他的163邮箱和12306.....哦豁..

下面来调戏调戏我们的XSS黑客

0x04 总结

---

这个小故事中，为了避免惨案，我总结了几点个人信息安全应该注意的：

1.密码不要设置那么简单。

2.不要所有平台都设置相同的密码，应该每个平台有独立的密码。

3.应该登录REG007平台，屏蔽对自己邮箱和手机号码的搜索。

4.网吧上网的确不安全，不要在网吧输入淘宝支付宝等与个人财产安全有关的敏感账密。

---