BugKu 社工-伪造 – 作者:lunai2333

我是看了评论才有点思路，后搜了Writeup才解出来的。来个事后总结吧。

题目为社工-伪造。

题目描述：“实战”题。

题目是sgQQ骷髅，映射现实中的QQ。

现实中在QQ中伪装成别人来欺骗别人其实并不复杂，可能别人很容易就被骗了。这里我想复杂了。差点考虑到出题人把社工放在WEB中，是不是要爆破出QQ号的密码，害。

好了，回到社工。QQ名字改了就行。（若从环境中聊天框根本看不到头像，头像实际上不需要改）

修改自己QQ号的名称，在骷髅登录框中输入自己的QQ号，跟小美聊天就得到FLAG。

其余的细节，我忘记截图了。。。

其他：

所有真实存在的QQ都可以登录骷髅，另外骷髅应该还拉取了其他一些软件的登录信息，可以获取用户的名字和头像。

“思路错了”的提醒其实是在说此路不通，通了就太简单了。

来源：freebuf.com 2021-07-29 22:36:14 by: lunai2333