首先,我不是社工大牛。我只是谈下我个人的观点。
我只提供几个思路给大家,欢迎补充。
在这里我把我们要社工的人叫做A。
第一、
先在网上搜索他的QQ号,一般会得到百度贴吧、百度知道等一系列bbs。其中最有用的就是百度贴吧,里面包含了很多信息,比如学校、班级、年龄、生日、小号等。而这里面,小号是最有价值的。一般人不敢把自己的隐私发到大号上。
实例:有天上网时,朋友发我一张图片,里面是A盗用我的ID在卖刷钻技术。当时也无聊而且我最烦刷东西的。就手贱社下。因为A使用的是我的ID,而且朋友发的图片里有他的QQ头像,我就进入“QQ查找”用我的ID做关键字,出来了4个。我就一个个打开,找到与之前那张图片里头像一样的。记录下QQ号。百度 google之。找到了他的百度贴吧,一个个翻看他的贴吧与参与的主题,发现了他关注的人只有7个,我就一个个社,发现里面有一个是他的小号,记录下他小号的QQ,社他小号,看他小号里的贴吧,找到了一个叫“输入你的名字,看能不能找到和你同名同姓的”果然,找到了他的姓名。又看到他关注的贴吧里有个学校的名字,不多说,八成是他的学校,是个初中的。百度那个学校的名字,还有网站,网站里还有BBS。果断去黑,后来盲打xss进后台,上传图片,burp改包,传一句话,拿下shell。脱裤,以他的QQ为关键字,在数据库里搜索,找到密码。登录QQ邮箱,错误。于是我拿他的姓名的开头字母加上他的密码,成功了。然后加他为好友,说我是他小学同学,成功骗出手机号码,然后给他打电话,说我是学校的教导主任(之前入侵网站时,看到了教导主任的名字),说我们学校的入学档案系统受到了损坏,有一部分的人的信息不全了,我们需要重新入库,请问你是不是叫xxx在yyy学校ZZZ班级。对方说是,然后我说,你的信息里,有三样地方受到了损坏。你父母的姓名,你的身份证号码,你的家庭住址。然后他就乖乖说了(我和他扯了有快半个小时,他才相信我,这里我只把主要的对话和大家说下),挂上电话,QQ申诉之,有了父母姓名 身份证号码 家庭住址,QQ申诉的成功率很大,再加上我有QQ密码,我申请了4次。终于第二天上午,成功了。果断改密码 改密保问题 最后把他签名改成,学什么不好,学刷钻。然后留下helen之名,洗洗睡觉。
第二、
如果对方和你住的很近,你可以买个一个G的u盘,在里面放入启动木马,或者是把木马捆绑到u盘里某个软件上。去他家门口,把u盘丢入他家门口,记住,前期一定要做好侦查,他大概什么时候出门,千万别让u盘被其他人拾走。等他拿到u盘后,很多人都会把u盘插入自家电脑里,看看里面有什么东西(好奇心害死猫)。然后你就回家等你的肉鸡上线吧。然后不用我说了吧,QQ密码肯定到手
实例:我没有实验过,这是在书上看到的。
其实还有很多,只是手机写文章太累,就不说了,下面我就说说彩笔的经验之谈吧。
第一,
打电话时,千万不要紧张,找张纸,把对方可能问的问题都写上去
第二,
在加他为好友前,最好做好充足的准备工作。
第三,
对任何收集信息的环节都不要抱太大希望,但信心一定要有,否则你会因为无聊而放弃
第四,
一定要仔细,任何细节都不要放过,
第五,
你还可以加他说是他小学同学(一般很少有人记得),获取信任后,说你的游戏装备那么好、等级那么高、我的号被封了,等一系列的话,骗出密码,如果不行,说你手里有个外挂,很nb。可以无限血。然后..懂得
我之所以写这篇文章,是因为我实在够了网上的那些社工文章,写了半天全是装逼的,毛点思路都没提供。
我不是社工牛,我也不是helen装逼狗,我只是发表下我自己的观点与看法,有什么不足,欢迎讨论
原文地址:http://www.cnblogs.com/webyihui/p/4003125.html