No.0
前言
跟着成师傅学习Src两节课了,成师傅一直强调信息收集决定了Src的下限同时决定着Src的上限,用这两天学到的东西交个作业,分享出来大家一起学习。
No.1
开始信息
确定目标开始收集
这里通过谷歌语法进行搜索
xxx这里是学校的名称
site:xxx.edu.cn sfz|学号|手机号
这里可以看到泄露很多东西,我们一步一步来
先看这个里面有没有泄露学号姓名这些
是下载了docx
发现了撸点!
赶紧去看这个网站
你这验证码什么意思,和帮助文档不一样啊!差评!
多了验证码我怎么爆破,测试过后发现验证码真防住了
可能之前被打过,加了验证码
回到谷歌那
翻到这的时候我就知道稳啦!一切都稳啦!
找到了泄露的专业、学号、姓名
已经成功了第一步
这里可以看到说明,通知公告 = 帮助信息
多点点,看看怎么个意思
通过公告,可以看到学号,身份证后六位
可以看到附件有指南帮助,下载看看
微信公众号搜索“某某大学财务处
在“证件类型”选择身份证或者学号,输入“证件号码”和“交款人”进行查询。
这不是天助我也!
成功查到
再看帮助文档,可以下载下来
多收集收集可能还会有很多,我们可以通过学号的排序方式,自己做个字典出来
只是泄露那么多,但并不意味这只有那么多
往下翻还有东西,这学校也太好了吧!!!
录取通知我也沾沾喜气
这都手把手教我了呀,再不出来点东西对不起学校对我的厚爱
网站登录
很好很好,那么多人考上研究生是吧,估计得有几千人
成功接管预计几千人账号!!!
挖洞就是大胆设想,小心求证。
只想说一句 成师傅赛高!!!
Src学员投稿
No.2
网安沟通交流群
扫码加客服小姐姐拉群
原文始发于微信公众号(隐雾安全):通过信息收集挖洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论