利用斯拉夫字母辅助社会工程学攻击思路
这个思路是很早以前在暗组看到的,当时把暗组社会工程学版块的所有帖子都翻了一遍,发现很多都是没什么营养的,但有一篇让我脑洞大开,于是果断保存了下来。
这里用到的是一种特殊字母,叫斯拉夫字母 (也叫西里尔字母),点此查看百度百科。
斯拉夫字母中的个别字母在网页中显示的效果与普通英文字母几乎一模一样,肉眼很难看出区别。
- 大写斯拉夫字母:АВЕКМНОРСТУХЫЬ
- 小写斯拉夫字母:авекмнорстухыь
- 普通英文字母 :
aBekMHopcTyXblb
由于一些网站未限制注册用户使用特殊字符,于是我们可以借助斯拉夫字母和普通英文字母构造出和其他用户极其相似的ID。
例如大部分论坛或网站默认的管理员账户是admin,我们试图注册这个账户时会提示该用户已存在或不允许注册。
但我们可以通过斯拉夫字母构造出аdmin这个账户,看不出来哪里不一样?把它复制粘贴到记事本试试。
以下是已构造好的一些ID。
аdmin bоss lоve nоkia rооt gоd wаp Emаil mаil foxmаil Gmаil
gооgle bаidu sоhu yahоо dоs rооtkit wеbshell shеll sinа microsоft
tencent МSN windоws Ghоst Ыack hаck hаcker crаcker DDоS
粘贴到记事本将现出原形:
我们把构造好的组合粘贴到注册窗口,如果该网站没有对特殊符号进行限制通常会出现一个绿色的对勾告诉我们可以注册。
一旦注册成功我们就可以利用这个ID辅助我们进行社会工程学攻击,比如发送钓鱼的链接给其他用户诱骗其点击,还可以换上管理员的头像提高相似度,管理员账户发送的消息中的链接用户点击的机率会大许多。
这只是个思路,分享出来希望对大家有所帮助。
关于作者
评论113次
很多年前看过,思路确实很淫荡!
思路很新颖啊,学xi了,如果不对字符进行检查应该很容易中招
这个在用户粘合性较差的论坛基本没用 好的 估计会认真审核你的PM 感觉成功率一般吧。
看样子我也会上当
学xi了。思路特别不错,之前讨论短域名,其实就有类似的思路,不过没想到。哈哈
看着不错
这招思路真心不错,不细心的都容易中招
套路真的好深,如果构造url,发送给其他人,中招的概率我都不敢想象,
第一次听说,测试下
卧槽这个套路好深,get了
这套路,很多网站都能实用,学到了
思路不错,很容易上钩。
这套路,命中率客观啊
真是学到了,厉害了~
仔细看 才看懂 这个有点厉害。
套路很深
不错,眼前一亮
厉害厉害,不知道注册域名的话有没有这个限制
注册域名有限制的。
套路不错,极具迷惑性,有点像那些邮箱钓鱼,链接看到的是http://www.baidu.com 然点进去却是钓鱼网站
是不是这个意思<a href="www.test.com">baidu</a>
在浏览器安全一书中有更多类似字符和套路
厉害了word哥,套路太深,估计中招率很高