15分钟刷到edu证书是什么体验

admin 2023年3月12日22:19:32评论63 views字数 665阅读2分13秒阅读模式
15分钟刷到edu证书是什么体验
15分钟刷到edu证书是什么体验

免责声明

本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循法律法规。

该漏洞已上报edusrc 并已修复,请勿打再次复现的主意。

本文章完全是为了水证书,分享一个信息泄露的快速打法,不喜勿喷,感谢大佬们的值正。

该漏洞已上报edusrc 并已修复,请勿打再次复现的主意。

15分钟刷到edu证书是什么体验

15分钟刷到edu证书是什么体验

凌晨十二点,被edu群的师傅们卷醒,点进去发现,证书又上新了

信息搜集

首选FOFA,过一下学校资产,语法很简单

domain="xxxxxx.cn" && org="China Education and Research Network Center"

15分钟刷到edu证书是什么体验

看到资产预料之中的不是很多,因为是凌晨时分,为了速战速决,祭出了绝大多数edu都无可避免的漏洞:信息泄露

根据平台对危害的分级去分析,那么什么程度的信息泄露才有可能成为中级呢?

15分钟刷到edu证书是什么体验

其实就是说,当信息泄露内容(sxf等)数量达到一定程度(其实也就是越多越严重),评级自然就高于低危了。

对于学校来说sfz xh  密码 地址 电话等都是学生的敏感信息

那么哪些文件里面存在这些信息呢?

很自然想到了一个地方,就是四六级成绩

直接结合谷歌语法搜索

site:xxxx.edu.cn 四级成绩

15分钟刷到edu证书是什么体验

看到这个,离证书就又进了一步,点开链接

15分钟刷到edu证书是什么体验

一共113条信息,其中包含了2017-2014年的学生四六级成绩单

15分钟刷到edu证书是什么体验

15分钟刷到edu证书是什么体验

针对这个证书站,从头到尾只用了15分钟,刷到了4k+学生的sfz,那么中危肯定是过了,第二天早上很快就审核通过了。


原文始发于微信公众号(7coinSec):15分钟刷到edu证书是什么体验

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月12日22:19:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   15分钟刷到edu证书是什么体验https://cn-sec.com/archives/1233521.html

发表评论

匿名网友 填写信息