事出有因
这天,我像往常一样刷着看点打发着时间,但在浏览一篇有关“人肉搜索”的文章时看到了不友好的评论,如下图所示。
这两个人争论着所谓的“人肉搜索”是否简单的问题,看似互怼,其实充分表现出了一知半解的样子。说到“人肉搜索”,和“社会工程学”其实是不尽相同的,但社工远远要比人肉范围广泛的多。社工又分为“广义社工”与“狭义社工”两种,后期会做文章讲解,现在让我们回归正题。
当我点开这个空白名网友的QQ看点主页时,我看到了如下动态:
相信看完这些图片后,你会有所感触,而我则不想多说,直接开整。既然你想让别人查你,那我就勉为其难试试咯。
磨刀霍霍向键盘侠
QQ看点中的用户其实都是QQ用户,所以正如键盘侠所说,他发表的言论也都是通过QQ所发。几年前QQ看点里是可以自由添加好友的,而现在似乎没有了这个功能,不过没有关系,每个用户主页都会对应着一个链接,而链接中则一定会暴露用户细节(id、昵称等)。
如上图所示,我们可以看到一个accountid的字样,初步判断这就是被加密(或者说编码)后的QQ账号了。”=”后面一直到下一个”&”符号之前的内容显然是被base64编码了,那么我们只需要解码就可以得到他的QQ号了呗。
QQ号拿到了之后,就可以转向广义社工,进行“人肉搜索”了,首先利用搜索引擎进行大数据检索,最终得到一个昵称为“喜欢*******狼”的csdn账号和一个昵称为“灵**心”的喵特账号。
再看他的粉丝,全部都是山西省大同市,所以推测这位键盘侠也是大同人士,但仍无法确认。我们将战场从搜索引擎转移回QQ,对其进行狭义社工(出于演示目的,所以仅进行了IP查询)。
获取QQ用户IP的方法有很多,查IP的插件衍生版比比皆是,手动方法可以自行查询,搜索关键字”wireshark qq ip”即可学习,如有必要,我们也可以做一篇教学文章。通过ipuu模糊定位范围有三千米之大,不足以达到顺着网线去暴揍键盘侠的目的,但至少省份是没有错的。
这时,我又想起了一个古老的支付方式“财付通”,通过QQ转账大额是需要验证姓名的,如下图所示。
很幸运,这位键盘侠的名字是两个字,如果是三个字的话,中字会显示为”*”,然后还等什么呢?百家姓验证走起。
结语
最终我们通过QQ看点的一条评论“人肉”到了这些信息:QQ账号、CSDN账号、喵特网账号、姓名、IP地址。(前期的广义社工做的好,后期的狭义社工才能玩到爆)。
本文章仅提供思路,旨在用真实案例讲解你的信息是如何泄露的,而非故意找茬,部分信息已打马处理,各位切勿利用思路从事违法活动,且行且珍惜。
来源:freebuf.com 2020-10-11 16:51:07 by: 火兔信息HTU2020
请登录后发表评论
注册