大写斯拉夫字母:АВЕКМНОРСТУХЫЬ
小写斯拉夫字母:авекмнорстухыь
普通英文字母 :aBekMHopcTyXblb
由于一些网站未限制注册用户使用特殊字符,于是我们可以借助斯拉夫字母和普通英文字母构造出和其他用户极其相似的ID。
例如大部分论坛或网站默认的管理员账户是admin,我们试图注册这个账户时会提示该用户已存在或不允许注册。
但我们可以通过斯拉夫字母构造出аdmin这个账户,看不出来哪里不一样?把它复制粘贴到记事本试试。
以下是已构造好的一些ID。
аdmin bоss lоve nоkia rооt gоd wаp Emаil mаil foxmаil Gmаil
gооgle bаidu sоhu yahоо dоs rооtkit wеbshell shеll sinа microsоft
tencent МSN windоws Ghоst Ыack hаck
我们把构造好的组合粘贴到注册窗口,如果该网站没有对特殊符号进行限制通常会出现一个绿色的对勾告诉我们可以注册。
一旦注册成功我们就可以利用这个ID辅助我们进行社会工程学攻击,比如发送钓鱼的链接给其他用户诱骗其点击,还可以换上管理员的头像提高相似度,管理员账户发送的消息中的链接用户点击的机率会大许多。
