记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

绕过邮件安全控制pt1:URL扫描

介绍:绕过邮件安全本文是高级钓鱼能力和绕过邮件安全机制系列文章的第一篇文章。本文的重点是URL分析和绕过链接扫描能力,这里我们会使用微软的O365的链接扫描过滤器来进行演示。钓鱼技术并不新鲜,已经是存在多年的老问题了,但这种攻击手法总是能够成功,表明邮件安全还有待提升和发展。在这整个系列中,尽管我们讨论的方法并不是最新的,但事实是,这些方法在社工中却十分奏效,这表明,我们在防御方面还要下很多功夫,防御团队需要解决这个问题。钓鱼背景任何红队评估的关键领域就是钓鱼或社工,关于这个主题网上已经有大量的文章了。虽然网络钓鱼的风险有详细的记录,但有关攻击者是如何绕过这些防御也是非常有用的。用户培训和教育十分重要,网上有很多的资源
发布时间:2019-03-05 12:20 | 阅读:58807 | 评论:0 | 标签:其他 社工 邮件安全 扫描

安天移动安全&中国电信云堤联合报告《Dark Mobile Bank之钓鱼篇》

一、威胁趋势 在信息安全链条中,技术、管理等因素极大威胁着信息安全,而人为因素则是其中最为薄弱的一个环节。正是基于这一点,越来越多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。 网络钓鱼是社会工程学的一种形式,也是信息安全威胁中最久远、最常见的一种攻击方式。网络钓鱼历史悠久,其主要发展历程可以归纳如下: 网钓技术最早于1987年问世 首次使用“网钓”(phishing)这个术语是在1996年。该词是英文单词钓鱼(fishing)的变种之一,大概是受到“飞客”(phreaking)一词的影响,意味着放钱钓鱼以“钓”取受害人财务数据和密码 2000年,通讯信息诈骗由台湾从沿海逐渐向内地发展,并迅速在国内发展蔓延 2002年,著名黑
发布时间:2017-02-13 13:40 | 阅读:143258 | 评论:0 | 标签:安全报告 社工 移动 mobile

浅谈企业网络边界安全

0x01 企业网络边界 我们知道既然要从外围进入内网,那么必然要做的一件事情就是跨越边界,所有这个命门我们也就自然应该在企业的内外网边界上来寻找。 那为什么企业需要在内外网之间部署这样一个边界呢?我们只要作为一个大企业来说他会有上百甚至上千个业务线,而安全团队或许只有几十人,那这几十人要保证这上千个业务线的安全,显然如果用布点的方式肯定无法完成覆盖的,所以企业在思考如何进行防御的时候会选择区域性防守。 所谓区域性防守就是把重点需要保护的业务&数据放到一个指定的区域,让后对这个区域进行隔离,并指定好进入这个区域的防火墙策略。然后定期对这个区域进行安全检查。 如果这样实施的很好,看起来一切都很完美。但是事实上并不尽人意,事实是这样的,在企业内部通常业务部门是会比安全部门强势的,这一点我相信大家都知道。 那么
发布时间:2016-08-24 08:10 | 阅读:154414 | 评论:0 | 标签:Web安全 github host绑定 ssrf 企业 内网 密码重置 弱口令 漏洞 物理接触 用户名密码爆破 社工

维基解密曝光美国中情局前局长布伦南机密文件

维基解密周三在网上 发布了 据称是美国中央情报局(CIA)局长 约翰·布伦南(John Brennan)的私人电子邮件内容,里面包括像布伦南申请进行安全调查以及有关美国酷刑政策的文件等。 此前,一名青少年黑客称,他入侵了布伦南的 AOL 电子邮箱帐号。 他在接受《连线》杂志采访时表示 ,他伪装成 Verizon 的工作人员,欺骗另一名 Verizon 员工披露了布伦南的个人信息,然后再向 AOL 提出了重置密码的请求。 维基解密公布的内容包括布伦南申请进行安全调查的文件,这份文件中包含了许多个人详细信息,比如布伦南的护照号、他以前的住处以及有关他一些熟人的信息等。维基解密还公布了阐述美国伊朗政策的文件,以及美国酷刑做法的内容等等。 布伦南个人信息外泄也是美国政府无力保护其自有数据安全性的一系列事件的最新例证。
发布时间:2015-10-24 00:20 | 阅读:88235 | 评论:0 | 标签:安全 中情局 社工 黑客

社工与社工库的那些事

什么是社工?是不是经常听见说谁又被社工了,或者谁社工了谁?那么到底什么是社工?社工可与百度百科搜索社工得到的结果是不同的,可不是什么社会工作,或者社区工作,社工的全称是社会工程学。带上一个工程,再带上一个学字,然后觉得高端大气上档次了,哈哈。开个玩笑,言归正传!社会工程学原理社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段;是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报;是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。所有社会工程学攻击都建立在使人决断产生认知偏差的基础上,熟练的社会工程师都是擅长进行信息收集的身体力行者。有一本书很出名,估计很多同学都有听说过,叫做《欺骗的艺术》,其实社会工程学就是米特尼
发布时间:2015-07-23 21:05 | 阅读:73070 | 评论:0 | 标签:网络安全 社工

【震惊】黑客酒会”拿”走ipad,被200名黑客社会工程学30分钟拿下!!

乌云黑客酒会’拿’走ipad,被200名黑客社会工程学30分钟拿下,应当是比警方速度快很多,谁说书生无用? 微信群里200名黑客通过各种手段在只有一个微信号的情况下,得到此人姓名,年龄,性别,邮箱,Qq,Qq群,开过什么公司,电话号,之前用过的电话号,支付宝信息,常去网站,等等,虽然走了一些弯路,最终结果以及过程…..请慢慢看正文。^_^ 前因:  乌云黑客酒会嗨完了,各回各家各找各妈,周六24点在北京正是夜生活正开始的时候,此时在群里转发一条消息, 一个黑客聚会,怎么能被社会黑客搞定呢?群情激愤,大家在找特点, 有人在摄影师的照片中找到一个有些相似的人,第一大特点就是大光头,锁定一人, 此时站出一位黑阔, 现在黑客群里只有一个微信号,下面怎么办? 他微信写是M后面跟
发布时间:2015-07-19 19:10 | 阅读:82832 | 评论:0 | 标签:业界 社工 黑客

[Security]换个思路,对某培训机构进行一次YD的社工检测

前段时间有个奇怪的培训机构过来我们学校要搞个什么网络安全比赛,问了绿盟的一个朋友,听都没听过有家这样的安全公司,于是我小小的调戏了一下,期间的故事是颠簸起伏,于是就有了这次YD的检测。本文只是讲解渗透思路和技巧,部分技术实现细节将略过,有兴趣可以自行搜索相关资料。非法入侵是违法行为,请勿以身试法。 0x00 踩点准备 先把他们公司的站点扔去查询,万网的虚拟主机,企业备案,然而建站时间差不多2年而已,至于网站上所说的什么九周年我就不知道是什么鬼了。企业备案查不到什么个人信息,社工可以暂时放一边,只能开始技术检测。 0x01 开始进攻 站点是使用ASP的,随便测试了下手注,发现并不成功,然后随便试了几个常见的后台路径,打开后台界面了,略高大上的后台。 加上login.asp就跳到了登陆界面,试了试弱口令还有万
发布时间:2015-06-02 06:55 | 阅读:101405 | 评论:0 | 标签:Hacker 技术研究 新技能 Security web 安全 渗透 社工

路遇钓鱼站,巧射下支付宝

本来是想破他解软件的、 先下载软件PEID查壳 Microsoft Visual C++ v6.0  无壳 一般都是易语言写的 载入OD 选项里面有插件 然后选择超级字符串参考  然后在文本字符串里面一般都能找到发送邮箱和密码的 载入OD无果,就吧程序换成txt打开 搜索smtp 然后登陆之 因为站用的邮箱不是这个号的邮箱所以就翻了翻邮箱,发现了个支付宝修改密码 于是乎 用QQ密码登陆之 密码错误,试试找回 是两数字 于是用QQ密码试了下不行 然后输入同样的数字 就这样 没什么技术含量  第一次射成功 声明: 本文采用 CC BY-NC-SA 3.0 协议进行授权转载请注明来源:Panni Security Team本文链接地址:[sourcelinkurl]
发布时间:2013-04-22 11:50 | 阅读:80681 | 评论:0 | 标签:黑客攻防 支付宝 社工 钓鱼站

第一次社,成功了一半!

这几天,玩QQ飞车没装备了。我擦这个腾讯! 今天是星期六,看到QQ飞车的的排名系统开启了。看到了那些装备,真JB贵。我们穷屌丝玩不起。 于是邪恶了。(其实我们犯罪是腾讯逼我们的!) 看到了一些高富帅在拍装备!全部都是上W点卷!于是我手贱点开了一个里面果断有QQ号! QQ:940175415 那就社吧! 第一次社,不知道怎么做。就百度了他的QQ! 信息基本全是百度贴吧的,QQ飞车贴吧!(害死人!娃哈哈!) 然后果断加他QQ! 上聊天记录! 邪恶:当我问他要QQ密码的时候他不相信我是贴吧工作人员! 我们有神器:Opera 果断上贴吧!登录我自己的帐号! 找到: 然后果断改源码,把我的用户名改成 东京苍井空丶 (不知道为什么,我选择了他!) 你懂得了吧! 最好没拿到他的大号,但是小号他给我了。
发布时间:2013-03-29 19:10 | 阅读:75849 | 评论:0 | 标签:黑客攻防 社工

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云