两次钓鱼 BOSS直聘HR上线CS

admin 2023年3月31日19:19:33评论115 views字数 645阅读2分9秒阅读模式

宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把李白你好设为星标”,否则可能就看不到了啦!做好免杀,钓鱼就跟妹妹聊天一样顺利。

0x01 一次钓鱼

一次银行小项目期间,资产较少,没有找到好的入口点,尝试钓鱼进入,翻看BOSS直聘中有招聘信息。

两次钓鱼 BOSS直聘HR上线CS

更改一下个人信息为符合标准得年龄和学历,之后就开始打招呼。

两次钓鱼 BOSS直聘HR上线CS

和HR聊的热火朝天,聊HR和聊女朋友差不多了,主要是满足她要求得一切条件,获取信任就可以顺利拿到个人或企业微信。

两次钓鱼 BOSS直聘HR上线CS

每个HR都是有业务指标的,看见我们条件很合适,就很着急互换微信。

两次钓鱼 BOSS直聘HR上线CS

获取微信后添加好友,发现到中午饭点了,吃完饭再发简历马,以防手机点击。

两次钓鱼 BOSS直聘HR上线CS

到这里也顺利上线HR电脑了。

两次钓鱼 BOSS直聘HR上线CS

翻阅进程查看到SangforVPN,本想着顺着网线就过靶标段去了.........。好像被发现电脑关机了。

两次钓鱼 BOSS直聘HR上线CS



0x02 二次钓鱼

发现钓鱼可行,怀疑该公司人士团队安全意识并不高,通过牛客联系一个人事内推,再次发马上线。

两次钓鱼 BOSS直聘HR上线CS

这次汲取教训,先进行一波权限维持,使用开源小工具Bypassuac拿到administrator*权限(自行编译),写入计划任务定时执行简历马。

hackerhouse-opensource/iscsicpl_bypassUAC: UAC bypass for x64 Windows 7 - 11 (github.com)

两次钓鱼 BOSS直聘HR上线CS

流程总结

两次钓鱼 BOSS直聘HR上线CS

小伙伴们学废了吗?一定到珍爱人士小姐姐。

0x03 往期精彩

两次钓鱼 BOSS直聘HR上线CS

揭开网络诈骗面纱:诈骗钓鱼网站与防诈骗的专业透视


两次钓鱼 BOSS直聘HR上线CS

记一次edu实战


两次钓鱼 BOSS直聘HR上线CS

原文始发于微信公众号(李白你好):两次钓鱼 BOSS直聘HR上线CS

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月31日19:19:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   两次钓鱼 BOSS直聘HR上线CShttps://cn-sec.com/archives/1641359.html

发表评论

匿名网友 填写信息