一次对某扑体育的社会工程学检测
0x01
无聊在虎扑(hupu.com)闲逛,随手就查了下dns
发现是某名站点
对其进行了简单的信息收集
分析whois信息以及反查其拥有域名,得知域名的相关邮箱
0x02
找到客服伪造成虎扑工作人员进行交谈
而客服让我登陆修改
告诉她自己不是专门管理域名的人员
虽然晚上只有值班客服,但我还是让她添加了解析
第二天早上8点让客服给我转了专员
利用网上的身份证制作工具进行制作和模糊处理(值得一提的是通过注册手机号码加了微信,虽然没有细看,但应该是可以找到照片ps的私人微信,)
利用搜索引擎找到了个有趣的东西
同时做了一个证书
装作不了解流程抢在客服说话前发给她,当然没有什么用,只是单纯加深专员信任
且某名有回访的规定
寻找理由
不出所料专员对我进行了回复
改号直接打了客服电话,因为已经找客服添加过解析,就直接找到专员修改dns
但因本次攻击只为测试,最早发送邮件的时候要求到dns有明显错误,客服同意后当然无法修改
录音文件作者无法提供
附思路导向图:
最后,本次测试并未造成危害,同时已邮件的形式通知了虎扑和某名工作的忽略之处,如有冒犯请见谅。