0%

Posted on Disqus:

什么是社会工程学(Social Engineering)?

社会工程学是黑客米特尼克悔改后在《欺骗的艺术》中所提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。

写这篇文章的起因是因为看了《到山东女孩被骗9900元学费,两天后心脏骤停离世》的新闻,很是痛心,故写下这篇文章让大家了解社工所带来的危害。

一、根据 QQ 所能收集到的信息

你可能会想 QQ 这么平常的东西,可以收集到什么信息呢。不过,这样想可就大错特错了,下面就讲一下我的一些思路。

一、根据 QQ 在线状态来判断此刻你的位置。比如,WIFI 表示在家,由 WIFI 变成 3/4G 则表示你可能刚出门,变成 2G 很可能你在地铁。

二、通过你的 QQ 空间所发表的动态来判断你的性格、现在所处的一个状态以及生活的大致范围。

三、根据 QQ 空间的留言、评论、访客记录等等,可以推断出你的职业、圈子、人际关系等,还可以根据六度人脉理论写个小程序,采集数据,分析你朋友的动态获取更详细的信息。

四、之前有过 QQ 群关系的泄露,可以查看加入的群、群昵称、位置等数据,那么就可以根据这些资料来判断你之前是种怎样的性格、生活状态、地理位置、所在学校以及兴趣爱好,以此来了解伪装你的同学朋友进行定向诈骗。

五、社工库和搜索引擎可以查到你注册的一些网站资料以及密码,自然也可以根据密码和注册网站的类型来推断出你的一些其他资料,比如现在密码的大致范围、生日等等。

六、在REG007这个网站呢,可以查到你注册了那些网站,那么以这些信息又可以确定你的性格资料及常用网站。

七、根据你的出生地和出生年月及姓名可以到一个叫做 “身份通” 的网站来通过程序遍历身份证后四位获取你的详细住址,精确到门牌号。

OK,那么到现在为止几乎知道了你最近几年的所有信息(姓名、电话、生日、地址、常用密码、人脉、身份证、性格、职业等等),其实途径还有很多,比如头像、照片搜索获取在网上所遗留的信息;根据注册的网站和大致的密码范围进行密码爆破,获取仅限个人所见的详细资料;钓鱼欺骗等等等等,这么看来危害还是挺大的吧。

二、根据网站所能搜集的企业信息

如果我说根据网站就可以入侵企业内网你信么?你可能会说这有什么难的,找安全漏洞啊,什么SQL注入、命令执行、权限配置不当等等的一些漏洞,找到不就可以进入企业内网了?当然,这些当然可以,但是这篇文章讲的不是漏洞的利用,这里只讲一些利用社工所能收集到的信息以及所能达到的目的。

一、根据Whois查询域名联系人邮箱电话等基本信息,如果设置了隐私保护,则记下域名注册服务商,后续会用到。

二、查询网站页面的联系方式、地址,一般在网站的关于我们或联系我们页面可以看到,收集到信息后去搜索引擎或社工库查询相关密码以及基本信息。

三、查询域名的DNS解析记录,可以查询到一些后台管理、邮箱、VPN等管理系统。

四、搜索引擎搜索域名和邮箱关键字,获取更多联系人及内部员工,登录上述查找到的系统进行爆破,成功后可获取更多敏感信息:VPN、通讯录、相关平台地址密码等等。

五、去公司实际地址伪装电信工作人员或访客进入公司大楼收集信息、WIFI中间人攻击(相信爆破WIFI密码这种事情应该不难)获取内部资料等等,什么?进不去?那就买个树莓派插上电源和无线网卡放到某种东西中然后当礼物送进去….

总结

当然,以上说的一些运用只是相对理想的状态,还有很多很多方法可以尝试。

最后,思路最重要。

最后的最后,这篇文章只是随便写写..

Posted on Disqus:

安装Sass:

Mac可直接执行,Windows需先安装Ruby

将gem源改为淘宝服务器:

1
2
3
4
gem sources -l  
gem sources --remove https://rubygems.org/    
gem sources -a http://ruby.taobao.org/  
gem sources -l
1
gem install sass

常用命令

1
2
3
4
5
6
7
8
//编译所有文件 in文件夹 out目标文件夹
sass --update in:out 
//监控文件,有更改则自动编译
sass --watch style.scss:style.css  
//查看帮助
sass --help
//css文件转换为scss
sass-convert in.css out.scss

Posted on Disqus:

安装net-speeder

手动安装

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
安装步骤:

1:下载源码并解压
wget https://github.com/snooda/net-speeder/archive/master.zip
unzip master.zip
2:准备编译环境centos

#下载epel:https://fedoraproject.org/wiki/EPEL/zh-cn 例:CentOS6 64位:
wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
#安装epel:
rpm -ivh epel-release-6-8.noarch.rpm
#然后即可使用yum安装:
yum install libnet libpcap libnet-devel libpcap-devel
#安装GCC
yum install gcc

Linux Cooked interface使用编译(venetX,OpenVZ):
sh build.sh -DCOOKED


使用方法(需要root权限启动):
#参数:./net_speeder 网卡名 加速规则(bpf规则)
#ovz用法(加速所有ip协议数据):
./net_speeder venet0 "ip"

一键安装脚本(推荐)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#下载脚本
wget --no-check-certificate https://gist.github.com/LazyZhu/dc3f2f84c336a08fd6a5/raw/d8aa4bcf955409e28a262ccf52921a65fe49da99/net_speeder_lazyinstall.sh
sh net_speeder_lazyinstall.sh
#启动  
nohup /usr/local/net_speeder/net_speeder venet0 "ip" >/dev/null 2>&1 &
#检查是否成功
ping google.com
#出现(DUP!)即为成功
#加入开机启动
echo 'nohup /usr/local/net_speeder/net_speeder venet0 "ip" >/dev/null 2>&1 &' >> /etc/rc.local

windows10 ss3连接不上:services.msc - 禁用 IP Helper
如果还是不行依次执行以下命令:
netsh interface ipv4 reset
netsh interface ipv6 reset
netsh winsock reset

安装FinalSpeed

服务端一键安装

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
rm -f install_fs.sh
wget  http://fs.d1sm.net/finalspeed/install_fs.sh
chmod +x install_fs.sh
./install_fs.sh 2>&1 | tee install.log

#设置开机启动
chmod +x /etc/rc.local
vi /etc/rc.local
#加入
sh /fs/start.sh

#每天晚上3点自动重启
crontab -e
#加入
0 3 * * *  sh /fs/restart.sh

客户端填写服务器IP和端口即可,值得注意的是服务器为openvz架构,客户端只能选udp协议,Shadowsocks端填写127.0.0.1、端口为FinalSpeed客户端填写的本地端口。

安装完后速度何止快了几倍。

参考资料如下:

https://github.com/d1sm/finalspeed

https://github.com/snooda/net-speeder

Posted on Disqus:

记得第一个独立博客是几年前使用emlog搭建在sae的,后来因为sae的I/O等诸多限制不得不转战其他服务商,后来经过一些选择就使用bae搭建了WordPress博客,果不其然,过了不久bae又开始了强制备案。。无奈,只得选择使用国外服务器自建博客,今天发现使用Hexo和Github来搭建静态博客还不错,故记录下详细过程,以供参考。

注册Github、添加SSH key 、创建username.github.io

注册自然不用多说,直接来添加SSH key,windows可通过Git Bash来执行以下命令生成SSH key

1
ssh-keygen -t rsa -C "your_email@youremail.com"

一路回车将id_rsa.pub复制添加到github-settings-ssh keys即可

创建repository,格式为username.github.io

安装Hexo

执行以下命令:

1
npm install-g hexo

初始化:

1
hexo init

生成静态资源:

1
hexo g

启动服务:

1
hexo s

创建文章:

1
hexo new [layout] <title>

启动完成后可通过 http://localhost:4000/ 来访问

配置_config.yml

配置一些基本信息就不多说了,直接说怎么配置上传github,打开_config.yml,找到deploy,按照以下内容添加修改即可

1
2
3
4
deploy:
  type: git
  repository: git@github.com:username/username.github.io.git
  branch: master

hexo需执行以下命令,否则上传不到github

1
npm install hexo-deployer-git --save

执行以下命令部署到github

1
hexo deploy

然后访问username.github.io就可以看到效果啦!

以后每次部署需执行下面三步命令:

1
2
3
hexo clean
hexo g
hexo d

绑定独立域名

在source文件夹新建CNAME文件内容为你的域名即可,例如:kulove.cc,最后将记录类型为CNAME的@、www解析到username.github.io即完成独立域名绑定。

安装主题

ok,到这里hexo的安装已经告一段落了,但俗话说的好,人靠衣装马靠鞍,接下来我们要去换一款主题,这里以NexT为例

1
2
cd your-hexo-site
git clone https://github.com/iissnan/hexo-theme-next themes/next

然后将_config.yml里的theme改为next即可。