窃取QQ中社会工程学的应用实例

当我们用尽口令攻击、溢出攻击、脚本攻击等手段还是一无所获时，你是否想到

还可以利用社会工程学的知识进行渗透呢？关于社会工程学的定义，我的理解是

：社会工程学是关于建立理论通过自然的，社会的和制度上的途径并特别强调根

据现实的双向计划和_blank>设计经验来一步接一步的解决各种社会问题。说的通

俗点就利用人性的弱点、结合心理学知识来获得目标系统的敏感信息。我们可以

伪装成工作人员来接近目标系统，通过收集一些个人信息来判断系统密码的大概

内容。这种方法和传统方法还是有一些区别的，但是它的作用绝对不比传统方法

的效率低。这里我就以大家喜欢“研究”的窃取QQ来做为实例讲解。

首先，我们要取得目标对我们的信任，而把一些敏感信息告诉我们。得到目

标的邮件地址方法有很多（可以利用甜言蜜语问得，也可以通过他在论坛这些地

方的注册信息，当然你还可以自己直接去问他：）得到邮件地址后我们可以干什

么呢？我们现在要做的就是伪装成腾讯总部的工作人员发一封邮件给他，告诉他

由于各种原因他的密码保护的资料丢失，要求他去某某站点补添一份之类。

好了，大体的思路已经说了现在就来说实施方法吧。首先我们要找一台具有

邮件中继功能的电脑，我们可以在3389肉鸡上完成这个动作。登陆肉鸡后，找到

管理工具再依次点击internet服务管理器--smtp服务器--属性--访问--中继--添

加你自己的ip进去就可以了。这样我们就可以利用他来发邮件了。接着我们就tel

net上肉鸡的25端口去发邮件了，下面是我发信的过程，注意看(“//”后面是我

的注解）。

c:\>telnet ip 25 //连接上肉鸡的25端口，接下来我们会看见一些smtp服务

器的版本信息
c:\>helo //和服务器打个招呼吧，呵呵，告诉他你要写信。
c:\>mail from:qq_*****@tencent.com //我们伪装成 qq_*****@tencent.com

这个邮箱给目标发信，让他觉得是腾讯发给他的
c:\>rcpt to:xxxx@yahoo.com.cn //告诉服务器接收的人（也就是我们的目

标）的邮箱地址是 [email]xxxx@yahoo.com.cn[/email]
c:\>data //告诉服务器我们现在要开始写邮件正文了

然后是你输入邮件正文，由于我们在本地输入的命令是看不到的，所以大家

最好在记事本上把邮件内容打好再粘贴进去。邮件正文如图所示：

上面利用现在炒的很热的冲击波_blank>蠕虫作为借口来诱使对方相信这封信是有

腾讯发出的，具体情况要具体对待这就要靠大家的想象了。输入完正文后按回车

再按句号.和回车来结束邮件正文的编辑。最后输入quit退出肉鸡。

再来分析一下这封信利用了哪些人性的弱点吧。首先在邮件开头以尽量规范

的官方格式来书写目的，让人觉得信的确是腾讯发出的。再后面利用一些通俗、

地球人都知道的事来做掩护。利用专家的名义来提示目标，因为人的心理上是对

自己的组织、亲人朋友和专家的话具有默认的一种信任，增加邮件的可信度。

目标在接到这封信后，如果对内容深信不疑，自然的他会点击邮件中提到的

地址去重新注册密码保护啦（当然是我们伪装而成的腾讯站点），这就看大家编

故事的水平了。而我们在邮件提到的站点的地址当然不能就是写上自己的那个假

密码保护的网址拉，这样很容就被人看出来的。这里我们就需要对url知识进行一

下学习了（具体大家自己找找资料），其实我们可以发一个这样的网址给他http:

//www.tencent.com@肉鸡ip，也许有人觉得奇怪网址怎么是这样的前面 [url]www.tence[/url]

nt.com是腾讯的网站，这样可以增加其可信度~而在@后面的才是我们真正要去的

地方，也就是说在http://和@之间的内容都是不起作用的，我们如果再对网址进

行一些处理就更加具有欺骗性了。这里我简单说一下方法具体细节大家找找资料

。例如我们把伪造的腾讯页面放 www.*****.com上，我们先ping得其ip--61.135.1

32.173.然后打开win自带的计算器。把61、135、132、173分4次输入，每次输入

后把他转成16进制并记录下来。我们把4次得到的16进制数值和在一起可以得到3d

8784ad这组数再输入计算器把16进制转为十进制，得到1032291501，递交http://

[url]www.tencent.com@1032291501/[/url]页面文件的名字。我们就可以访问sohu的页面了，

这是一个示范，大家具体情况具体对待。

声明：本文纯属讨论技术，请不要利用此方法来进行破坏活动，否则后果自

负！

本文转自loveme2351CTO博客，原文链接：http://blog.51cto.com/loveme23/8557 ，如需转载请自行联系原作者

窃取QQ中社会工程学的应用实例相关推荐

社会工程学——你被社工了吗？
社工简介社会工程学(Social Engineering)简称社工,它是通过对受害者心理弱点.本能反应.好奇心.信任.贪婪等心理陷阱进行欺骗.伤害的一种危害手端. 社会工程学经常被Hack ...
社会工程学在网络***中的应用与防范
1.引言社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具. 社会工程学是一种通过对受害者心理弱点.本能反应.好奇心.信任.贪婪 ...
社会工程学在***中的应用－－一个密码引发的“血案”
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url]) 文章作者:fhod 说明:文章已发表于***X档案2007年第12期,转载请注明出处! 本文首发邪恶八进制 ...
MetaSploit攻击实例讲解------社会工程学set攻击（kali linux 2016.2(rolling)）（详细）
来源:https://www.cnblogs.com/zlslch/p/6888540.html 不多说,直接上干货! 首先,如果你是用的BT5,则set的配置文件是在 /pentest/exploi ...
渗透检测中的社会工程学
这是我渗透过程中的一次真实经历,我也没有想到在经过两天的时间拿到主站服务器时,主站程序却放在主站服务器的虚拟机上,跑的是一个linux系统,进入需要root用户名和密码,但那个root用户名和密码却没 ...
社会工程学中个人信息的防护
有人的地方就有江湖,有江湖的地方一定有社会工程学. 社会工程学是黑客米特尼克悔改后在<欺骗的艺术>中所提出的,是一种通过对受害者心理弱点.本能反应.好奇心.信任.贪婪等心理陷阱进行诸如欺骗 ...
2008社工新书《黑客社会工程学攻击》
保留一份以免淡忘了. 这本书写的非常的好,对于想深入了解这门艺术的人看是个不错的选择. --------------部分目录------------------------ 第一章.黑客时代的 ...
网络安全入门学习：社会工程学
在电影<我是谁:没有绝对安全的系统>中,主角本杰明充分利用自己高超的黑客技术,非法入侵国际安全系统,并在最后逃之夭夭.在电影中,有一句经典的台词: 所有黑客手段中最有效的.最伟大的幻想艺术 ...
什么是社会工程学？如何防范社会工程学攻击
黑客技术就像魔术,处处充满了欺骗. 不要沉迷于网络技术,人才是突破信息系统的关键. 只要敢做就能赢. 在电影<我是谁:没有绝对安全的系统>中,主角本杰明充分利用自己高超的黑客技术,非法入侵 ...

窃取QQ中社会工程学的应用实例

窃取QQ中社会工程学的应用实例相关推荐

最新文章

热门文章