某师范学院信息收集到登录统一身份认证平台

admin 2024年11月22日14:52:45评论20 views字数 608阅读2分1秒阅读模式
本文由掌控安全学院 -   满心欢喜 投稿

 

没事就搜索一下网上有没有泄露敏感信息的文件,养成好习惯
site:xxx.edu.cn “学号” “身份证号” filetype:xlsx
某师范学院信息收集到登录统一身份认证平台
这次就运气好 得到了一份毕业生信息文件
有学号,有身份证号肯定先去搜索一波初始密码默认密码,弱口令等等
site:edu.cn intext:初始密码|默认密码 && (“附件”)
无果
再去鹰图搜集一波资产
我的习惯是icp.name
icp.name=”xx师范大学”&&web.body=”登录”
某师范学院信息收集到登录统一身份认证平台
接近400条含有登录的资产
慢慢来,想挖洞就需要下时间有耐心,一个站一个站的找,尝试

某师范学院信息收集到登录统一身份认证平台

在学生邮箱登录页面,我尝试用学号/身份证后六位的组合登录
网页显示
信息用户已锁定,请先激活邮箱或联系管理员
所以我又到激活功能点尝试
某师范学院信息收集到登录统一身份认证平台
激活需要学号,姓名,密码(密码就是身份证后六位)
某师范学院信息收集到登录统一身份认证平台
也是成功激活了账号

某师范学院信息收集到登录统一身份认证平台

某师范学院信息收集到登录统一身份认证平台
成功拿到了邮箱账号
某师范学院信息收集到登录统一身份认证平台
有了邮箱账户那就简单多了,到该校统一认证页面

某师范学院信息收集到登录统一身份认证平台

某师范学院信息收集到登录统一身份认证平台
邮箱找回密码

某师范学院信息收集到登录统一身份认证平台

一封找回密码邮件
某师范学院信息收集到登录统一身份认证平台
成功修改统一平台密码
某师范学院信息收集到登录统一身份认证平台
这里给大家一点经验,学校的账号手机绑定的不一定是校园卡的手机号,但邮箱肯定是默认绑定edu邮箱账号,当然这是在这个学校自身有edu邮箱的前提下。

某师范学院信息收集到登录统一身份认证平台

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

某师范学院信息收集到登录统一身份认证平台

 

原文始发于微信公众号(掌控安全EDU):Edusrc | 某师范学院信息收集到登录统一身份认证平台

 


免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月22日14:52:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某师范学院信息收集到登录统一身份认证平台https://cn-sec.com/archives/3424783.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息