点击蓝字 关注我们
记一次偶然的CNVD漏洞挖掘(简单)
前言
由于最近的工作不是很忙,就打算利用空闲去挖一挖CNVD漏洞,就打开了qax的网络空间测绘的搜索引擎 "鹰图"。
就随便查找了一条语句:web.title="XX系统"
然后排除掉一些其它非登陆系统的数据,就比如一些官网的产品介绍页面,直接选择不看标标题或者公司即可。
突然看见一页资产的数据全是同一个系统而且是不同的公司在使用,哈哈 看看呢
测试
最后使用fofa进行数据的查看发现这个管理系统的数据还是蛮多的,使用者也很多。
一些中途小问题
在查找关于该管理系统是归属哪家公司的时候,遇到问题了,该系统的登陆页面完全没有可用信息,就一个登录的功能表单,源代码中也没有任何可用信息,也没有备案版权归属等相关信息,当时都想放弃了。在毫无思路的情况下突然想着用标题名去进行搜索看是否有部分信息,还是蛮幸运的,用百度搜索了一下返回结果基本上没有,翻到最下面发现其中一个页面里的内容有这个系统的相关信息,是一个搭建的教程。当然也不是很确定,因为有些是虚假的信息打开后就是一些其它页面。
打开该搭建教程页面一看发现是我测试的那个管理系统,系统的登陆页面完全一模一样还有该系统的使用手册链接这些,最后就根据该使用手册找到了该管理系统的归属公司。
这次的挖洞经历主要还是靠运气吧,如果找不到该系统的归属公司也就没法。
备注:由于CNVD官网暂时无法进行用户的登录,就暂时用的CNVD官方发的漏洞审核通过邮件信息。
(ps:由于公司注册资金达不到5千万,但是使用者很多,以为CNVD会给通用漏洞,最后给的还是事件漏洞,可能还是公司的注册资金没有达到5千万吧,后续该系统的其它漏洞也没有去测了,漏洞肯定是有的。)
备注:
CNVD漏洞挖掘方式很多,这次仅仅是一次很偶然的一次漏洞挖掘。
希望各位师傅都可以挖到通用CNVD漏洞和证书 ~
原文始发于微信公众号(青春计协):记一次偶然的CNVD漏洞挖掘(简单)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论