利用斯拉夫字母辅助社会工程学攻击思路
这个思路是很早以前在暗组看到的,当时把暗组社会工程学版块的所有帖子都翻了一遍,发现很多都是没什么营养的,但有一篇让我脑洞大开,于是果断保存了下来。
这里用到的是一种特殊字母,叫斯拉夫字母 (也叫西里尔字母),点此查看百度百科。
斯拉夫字母中的个别字母在网页中显示的效果与普通英文字母几乎一模一样,肉眼很难看出区别。
- 大写斯拉夫字母:АВЕКМНОРСТУХЫЬ
- 小写斯拉夫字母:авекмнорстухыь
- 普通英文字母 :
aBekMHopcTyXblb
由于一些网站未限制注册用户使用特殊字符,于是我们可以借助斯拉夫字母和普通英文字母构造出和其他用户极其相似的ID。
例如大部分论坛或网站默认的管理员账户是admin,我们试图注册这个账户时会提示该用户已存在或不允许注册。
但我们可以通过斯拉夫字母构造出аdmin这个账户,看不出来哪里不一样?把它复制粘贴到记事本试试。
以下是已构造好的一些ID。
аdmin bоss lоve nоkia rооt gоd wаp Emаil mаil foxmаil Gmаil
gооgle bаidu sоhu yahоо dоs rооtkit wеbshell shеll sinа microsоft
tencent МSN windоws Ghоst Ыack hаck hаcker crаcker DDоS
粘贴到记事本将现出原形:
我们把构造好的组合粘贴到注册窗口,如果该网站没有对特殊符号进行限制通常会出现一个绿色的对勾告诉我们可以注册。
一旦注册成功我们就可以利用这个ID辅助我们进行社会工程学攻击,比如发送钓鱼的链接给其他用户诱骗其点击,还可以换上管理员的头像提高相似度,管理员账户发送的消息中的链接用户点击的机率会大许多。
这只是个思路,分享出来希望对大家有所帮助。
关于作者
评论113次
很多年前看过,思路确实很淫荡!
这个厉害了。不细心的话还真看不出
好东西!
厉害了 dz的论坛 貌似都可以用
怎么看百科上的字母表没有你打出来的那些字母啊?表哥是怎么打出来的能说下么?
我是直接在百度百科那个界面里复制出来的,不是打出来的。 你可以复制我帖子内的符号到百度百科界面Ctrl+F就能搜到了。
在html 页面中就显示相同,在记事本才会显现
感谢分享,百度搜索框也未能识别,提供一条新的思路
请问粘贴到记事本没有出现原型,求指教。
实测楼主的复制到记事本可以现出。是不是复制错地方了。
我是复制到楼主给的ip138里出现的。
一个新手上路就把你打回原形了.gif)
按照这种方式,一个admin就可以注册好多个admin的账号了。。。
请问粘贴到记事本没有出现原型,求指教。
实测楼主的复制到记事本可以现出。是不是复制错地方了。
感觉着。。钓鱼网站网址类型的应该不会出现吧。。这个应该只是适用于注册账户之类的地方吧。。
escape('аdmin') linux下非得编码才能看出来。。。
真心不错,思路又开阔了!
这个挺有意思的。。一不小心就上当啊。。
这一招比较好,也不只是仅仅应用在网站上,可能对手机或一些设备也有套路方法,但是我在复制到mac上还是看不出原型
请问粘贴到记事本没有出现原型,求指教。
你粘贴到这里试试 http://qq.ip138.com/zt.htm
好了,成功了,真心模糊性好大,社工的好配角,谢谢分享。
怎么看百科上的字母表没有你打出来的那些字母啊?表哥是怎么打出来的能说下么?
这个方法和域名里的1 和 l 异曲同工,挺会玩的!
以假乱真,社工很有用的方法啊
在记事本里面粘贴试了一下,确实极具迷惑性,厉害!