【浅谈web安全】大企业安全：从员工下手

目前所有的企业都存在这方面的问题，比如员工把服务器和后台密码直接明文保存在云笔记和网盘中，员工企业邮箱密码跟外部个人密码一致等等，通常我们在入侵的时候只要在微博搜索一个目标公司的员工，拿到常用密码后登陆邮箱，然后在通讯录和邮件中收集其他技术岗位员工的联系方式，最后登录他们的邮箱和云笔记等去翻一些VPN、SVN、SSH等密码，整个过程简单直接有效，而且越大的企业这个问题越严重。

针对人员的入侵基本都会用到社会工程学的手段，我的记忆中很多次入侵测试过程中都有伪装身份跟目标的员工进行沟通，有一次将管理员的某个开源程序代码下载回来后，在程序的某个很隐蔽的地方加了两行代码，然后把代码再发送给管理员并说“看到了你的XX程序，挺赞的，我稍微优化了加了点功能”，两分钟后我的远程控制软件看到已经可以控制他的电脑，从他的电脑里翻到了很多企业的敏感信息，后来他还回复问我优化哪里了，而这两行代码的功能，就是下载免杀木马并且运行。

上面讲的这个实例是比较偏直接的，可能会引起对方怀疑，通常我们都会从公司的系统以及员工个人账户开始入手收集信息，公司的包括企业邮箱、OA系统、SVN、运营系统、运维系统等等，个人账户像云笔记、网盘、电商网站、招聘网站等，这些网站一般都有很多敏感的个人信息，整个入侵的大致思路如下

其中比较关键的密码环节，我们怎么样才能拿到员工的常用密码，通常有以下几种情况：

1.社工库查询
根据个人信息进行关联挖掘。如果只是用一个邮箱搜一下，那你可能只能得到这个人的一个密码，但是如果你通过这个密码进行搜索，就能关联出他的另外一个邮箱地址，然后再搜索这个邮箱地址，很大可能就找到了他的第二个常用密码，画个图表示一下

2.猜密码
这里说的猜密码不是盲目的123456，那是暴力破解，猜密码是指根据目标人的个人信息和习惯去分析他可能会使用的密码是多少，我根据经验专门写了一个网站叫猜密码，地址是www.caimima.net，成功率还是非常高，因为普通人使用密码有两个习惯

！使用个人信息作为密码，如zyy19880516（张园园的生日是1988年5月16日）。
！每次改密码只会修改前面或者后面一两个数字或者字母， 再者就是调整下顺序。

3.暴力破解
在根据个人信息生成密码之后，我们就可以利用这些密码进行暴力破解，另外一些大多数人的常用密码如123456、1qaz2wsx一类我们称为弱口令，可以专门整理一本字典进行爆破，我个人根据经验手写了一批字根生成了一份20万条的密码字典，用来爆破的成功率也是非常高。

爆破也不仅仅是爆破密码，用户名需要爆破，在不知道密码和用户名的情况下就进行爆破叫做盲爆，通常国内企业邮箱的前缀都是个人姓名的拼音，如张园园的邮箱可能是zhangyuanyuan@example.com，我将互联网泄露的几千万姓名转换成拼音，然后按重复次数进行去重排序，用这个字典爆破企业邮箱，用户名为姓名拼音，密码为姓名拼音，姓名拼音后面加123或者520这类的形式，屡试不爽，这样盲爆的情况下一般总能爆破出来不少，最多的一家企业爆破出来了将近60个员工的邮箱密码。

4.入侵个人网站及电脑获取密码
这种方式很有效果，一些技术员工很多都有个人博客或者论坛一类，我们只要入侵这个博客，在博客数据库里面翻他的密码，或者修改一下网站代码，加段截获密码的代码，就能拿到他的明文密码。另外关于入侵个人电脑，这得结合一些社会工程学的方式，文章开头的故事就是很好的例子，手段多种多样，之前有一个段子说的，一个黑客为了入侵某家企业，花了两千块钱叫一个小姐专门陪目标公司的网络管理员LUO聊，通过小姐将一个木马发送给了这个管理员，成功入侵了这家公司。这样的玩法真实存在，我之前为了入侵一家企业，祭出了我暗藏多年的陌陌女号，专门开通了会员使用漫游功能，漫游到目标公司附近跟员工勾搭。