下载图片…

Bugku CTF练习题---社工---信息查找 flag:KEY{462713425} 解题步骤: 1.观察题目,思考题目内容,了解答案是群号 2.这里涉及到好多的信息,首先有网址,第二个是今日头条,以此分析,应该进入到今日头条进行搜索 3.打开第一个网页,黑客爆出联系方式 4.把群号按照正确格式填入,提交完成…

Bugku CTF练习题---社工---密码 flag:KEY{zs19970315} 解题步骤: 1.观察题目,思考题目要求 2.发现其中有姓名和生日这两个信息.从社工角度出发,感觉可能是名字+生日,经过尝试得出答案,超级简单 例如: 1-zhangsan19970315 2-zhangsan970315 3-ZS19970315 4-zs19970315 3.经过尝试,符合上面第4个,提交答案,注意格式,完成…

原创 ziwen@beebeeto 转载请保留本行 个人感觉 国外的安全方面对社工的了解和防范并不是很好 即使他们使用社工的时间比我们要长很多 比如 他们的visa在pos机上使用是不需要密码的 而且经过验证的商家只需要你的VISA卡号就可以盗刷你的钱 连刷卡都不需要 前一阵子在TDbank办了一张储蓄卡 仔细观察他们前台人员在和总部交流查询卡的信息或其他信息时候是采用的这种过程 使用办公电话打电话---告诉接线员自己的工作号码---接线员验证---告诉他你想查询什么就可以了 那么我就趁机记下了…

在windows中使用,输入有关信息查询社工库,本来是网页版的,我把ajax请求提取出来.粗略的封装下,挺好玩. #coding:utf8 import urllib2,urllib from BeautifulSoup import BeautifulSoup queryword=raw_input(u"输入查询的字符串:\n".encode('gbk')) def f(queryword): q=lambda x:urllib.quote(x.decode('gbk').encod…

如何设计搭建一个社工库 从初起设计一个社工库,到现在的Beta,前前后后零零整整花了不下一个月的时间,林林总总记录下来,留给需要之人 泄露数据库格式不一,长相奇葩,因需将用户名.密码.邮箱.哈希等信息按表分列入库,故整理数据是很耗时间的一步 整体架构 选择了Debian x64+Mysql+Mysqlcft+Sphinx+Nginx+PHP 轻量的sqlite数据库,但查询速度及空间消耗过大,对请求时sqlite处理效率较差 mangodb,但mangodb在分布计算中有更好的优势而在社工库搭建…

0×00前言 何为社工?社工是一种通过利用受害者心理弱点,如本能反应.好奇心.同情心.信任.贪婪等进行诸如欺骗.盗取.控制等非法手段的一种攻击方式.在无线安全中也可以利用社工做到许多非法操作.下面举几个利用社工盗取wpa2密码的例子: 0×01 移动存储攻击 某宝小容量u盘,在u盘中存放一个bat批处理文件,并命名为诱使人点开的标题,如:windows电脑优化.私人照片等等.其实bat文件的内容是这个: @echo off >nul 2>&1 "%SYSTEMROOT%\sy…

社会工程学(Social Engineering)简称社工,其通过分析攻击对象的心理弱点,利用人性的本能反应,以及任何好奇心,贪婪等心理特征进行的,使用诸如假冒,欺骗,引诱等多种手段来达成攻击目标的一种手段,社会工程学的应用领域非常之广泛,而很多黑客也会将社工运用到渗透的方方面面,社工也被称为没有技术,却比技术更强大的渗透方式,正所谓 "攻城为下,攻心为上" 这句话用在社工上面是最恰当不过的啦. 接下来将介绍一个工具,社会工程工具包(SEToolkit)工具,该工具由 David Ke…

首先看到的是 由于之前知道有bugku的百度吧   并且这个是一个社工题所以可以试一下这个百度吧 进入百度吧然后会见到 这句话的意思是要我们登录这个账号 但是我们只有账号没有密码  如果爆破的话很有可能爆破不开 所以我们再重新看一下 题目然后 我们看到了一个关键词“弱口令” 然后我们去百度弱口令top100 然后会发现弱口令 弱口令网站是:https://blog.51cto.com/10907603/2139653 然后一个个试一下这些弱口令 然后发现第二个 就是密码 然后登录 进入邮箱 应该…

…