利用斯拉夫字母辅助社会工程学攻击思路

2016-10-26 22:37:03 113 15386 16


这个思路是很早以前在暗组看到的,当时把暗组社会工程学版块的所有帖子都翻了一遍,发现很多都是没什么营养的,但有一篇让我脑洞大开,于是果断保存了下来。

这里用到的是一种特殊字母,叫斯拉夫字母 (也叫西里尔字母)点此查看百度百科



斯拉夫字母中的个别字母在网页中显示的效果与普通英文字母几乎一模一样,肉眼很难看出区别。

  • 大写斯拉夫字母:АВЕКМНОРСТУХЫЬ
  • 写斯拉夫字母:авекмнорстухыь
  • 普通英文字母 :
    aBekMHopcTyXblb

由于一些网站未限制注册用户使用特殊字符,于是我们可以借助斯拉夫字母和普通英文字母构造出和其他用户极其相似的ID。

例如大部分论坛或网站默认的管理员账户是admin,我们试图注册这个账户时会提示该用户已存在或不允许注册。


但我们可以通过斯拉夫字母构造出аdmin这个账户,看不出来哪里不一样?把它复制粘贴到记事本试试。

以下是已构造好的一些ID。


аdmin  bоss   lоve  nоkia   rооt  gоd  wаp  Emаil  mаil  foxmаil  Gmаil

gооgle bаidu sоhu yahоо dоs  rооtkit  wеbshell  shеll  sinа  microsоft

tencent  МSN  windоws  Ghоst  Ыack hаck   hаcker   crаcker DDоS

粘贴到记事本将现出原形:


我们把构造好的组合粘贴到注册窗口,如果该网站没有对特殊符号进行限制通常会出现一个绿色的对勾告诉我们可以注册。


一旦注册成功我们就可以利用这个ID辅助我们进行社会工程学攻击,比如发送钓鱼的链接给其他用户诱骗其点击,
还可以换上管理员的头像提高相似度,管理员账户发送的消息中的链接用户点击的机率会大许多。


这只是个思路,分享出来希望对大家有所帮助。

关于作者

aircrk20篇文章342篇回复

评论113次

要评论?请先  登录  或  注册