首页 >> 网络安全 >>社会工程学 >> 小试牛刀之检测BC安全组
详细内容

小试牛刀之检测BC安全组

来源:社工研究组 小三

某人发了个网站给我,说自己网站被黑了。

果断打开看看,发现十分挑衅的字眼。

1.jpg

看见留有某个域名,那我也来试下拿下他网站权限吧。

2.png

访问网站发现是网上流传的QQ教程网的一套网站程序。

于是在某源码站下载了一套QQ教程网的程序,发现可以下载MDB。

方法:_data%5C_dk_%24%25%5E%26.mdb。

下载得到密码为xiao*****123。

尝试扫描后台没扫描到,既然这样,那就查询网站是哪儿注册的吧。

3.png

华夏名网注册的,通过联系网页客服询问出帐号为109****273,尝试通过之前下载回来的密码登录成功。

4.jpg

但是空间不是在这儿买的,那我们就查下同ip站点。

5.png

发现存在很多四级域名,看来就是在这个域名里买的了,访问一级域名。

6.png

发现只有一个idc,那就去联系下这个idc的客服吧。

7.png

通过域名询问到了帐号为xx520,果断尝试之前的密码是否可以登录,发现密码错误。

于是把之前得到的密码中的123去掉,成功登录之。

8.png

回到前面,我发现对方还有个论坛,那就试下能否用之前的密码登录吧。

发现登录也是成功的,但是不尽兴啊,逛了下后台发现他开通了邮件通知功能。

1.png

果断去脱数据库,脱出之后查找smtp。

2.png

QQ密码彰显而出,进了下教程网后台看徒弟的教程发现完全就是有标题没内容。

3.png

总评:在为网站做邮箱设置的时候尽量不要使用自己常用的邮箱,以防被黑K获取,密码也应尽量复杂,就算获取到了md5值也未必可以解出明文密码。



技术支持: 建站ABC | 管理登录