edusrc想必大家都知道,就是报送高校漏洞的地方,下面是我的edusrc挖掘经验,本人不是挖洞大神只是分享一下我目前挖到的这些洞的经验挖到的也不是很多算是edu新手。
首先万事开头难只要挖到第一个就不怕挖不到第二个,挖第一个edu我的经验就是找小edu网站挖不要一上来就死磕某某大学。
拿我的这几个来说,下面的几个到目前为止还未公开所以就不说了我其实一开始就是找的比较冷门的学校网站挖我这边建议大家是在内蒙古和青海等地方的edu挖会比较简单一点,挖到几个了就可以选择进阶挖一些高校的就像我提交的这几个先从某小学开始在一步一步挖某某高校的。
第二就是每次挖掘对于信息搜集的质量要求是非常高的换句话来说就是信息搜集决定着能不能挖到这个洞,我前期不是很重视信息收集这就导致了我挖不到洞,这边建议大家信息收集多利用fofa,shodan,谷歌语法,端口扫描,目录扫描等等工具
除去这些还要按网上的大神分享的注意一下这些高校的微信公众号微博号等等,因为有时候会放出一下信息有利于你利用与edu的挖掘
第三就是挖自己擅长的洞
假如说你目前比较擅长找弱口令猜密码那你现阶段可以专注于找这些高校的弱口令因为一些学校的命名规则就是【学号+学生身份证】所以还是比较好猜的,不要看网上说edu里逻辑漏洞多你就去挖自己不熟悉的逻辑漏洞,纵使逻辑漏洞比较多但是逻辑漏洞掌握比你好的白帽子也有一堆。所以还得是对症下药你自己擅长挖sql注入就先挖sql注入类的!
这些就是我近期挖edu的一些自己的想法分享供各位师傅参考一下,我技术不厉害所以大家请喷!
湘安无事团队 知识星球 一次付费,永久免费,享受两大内部群+星球双重福利(付费之后会拉入内部成员群,直接免费续上)。有需要的直接添加上面微信 118永久,私我支付,直接拉内部成员群,扫码支付,三天后拉内部成员群。
内部群共享
1.fofa高级会员账号
2.360quake高级会员
3.某在线高级会员靶场账号(附带wp)
4.专属内部漏洞库(持续更新)
5.原创漏洞挖掘报告
6.it课表众多好课(持续更新,内容涉及安全+开发等)
7.在线答疑,不定期直播技术分享
8.源码网站永久会员共享
星球介绍:
星球针对安全新人有优秀学习资源,星球专属嘉宾进行问题解答,
性价比很高。
如果你是入门不久,想要提升漏洞挖掘能力,那该星球是个不错的选择,星球内拥有
专属漏洞报告,
各种奇淫技巧、挖洞技术、专属嘉宾在线问答等。
欢迎您的加入,星球部分内容请你查看!!
星球内容介绍
星球内部提供众多好课
安全类:web安全、内网、src挖掘、kail、逆向、游戏漏洞挖掘、免杀等
开发类:python安全开发、java、Golang、php等开发课程
专栏提供内部漏洞库
专栏内容预览
扫码查看更多内容
原文始发于微信公众号(湘安无事):教育漏洞挖掘经验分享--edusrc(flower安全日志)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论