现在只对常读和星标的公众号才展示大图推送,建议大家能把GG安全“设为星标”,否则可能就看不到了啦!
免责声明
本文章仅用于分享信息安全防御技术,请遵守中华人民共和国相关法律法规,禁止进行任何违法犯罪行为。作者不承担因他人滥用本文所导致的任何法律责任。
本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失,GG安全公众号和原文章作者不承担任何责任。如果出现任何后果,请使用者自行承担。如果有侵权行为,请告知我们,我们将立即删除并致以道歉。谢谢!
知识先导
GG安全
效果展示
何为捡洞,就是在做正常测试前期是进行信息收集时找到的一些敏感数据及文件,我这里专门有一个提交“水洞”的账号,就是使用一点小技巧闲的没事的时候瞎点着玩用的。
成果展示
几乎都是中低危的敏感信息泄露组成的,所有说信息收集很重要,只要做好信息收集,哪怕是萌新也可以自己挖掘到漏洞。
正片开始
谷歌语法如下(直接copy即可)site:.A.B.cn filetype:xls OR filetype:xlsx intext:身份证site:.A.B.cn ffiletype:pdf OR filetype:doc OR filetype:docx intext:身份证site:.A.B.cn filetype:xls OR filetype:xlsx "身份证"site:.A.B.cn ffiletype:pdf OR filetype:doc OR filetype:docx "身份证"site:.A.B.cn filetype:xls OR filetype:xlsx intitle:身份证site:.A.B.cn ffiletype:pdf OR filetype:doc OR filetype:docx intitle:身份证语法解释site:指定域名inurl:用于搜索包含的url关键词的网页intitle:搜索网页标题中的关键字intext:搜索网页正文中的关键字filetype:按指定文件类型即文件后缀名搜索cache:已经删除的缓存网页
关键词可以替换为:
身份证|sfz|学号|xh|登录|注册|管理|平台|验证码|账号|系统|手册|默认密码|初始密码|password|联系电话|操作手册|vpn|名单
实操结果
信息收集的目的
在edusrc漏洞挖掘的过程中,信息收集非常重要,因为高校的系统大部分都是不对外开放注册的,但是由于学生的安全意识较为薄弱,会出现很多"弱口令"的情况。这些"弱口令"很可能就是高校下发的默认密码,那么不同高校的学生学号、手机号、身份证号这些信息就很可能能给师傅们提供一个能直接登录进去测试的口子。
工具推荐
工具名称:密探渗透测试工具下载地址:https://github.com/kkbo8005/mitan/releases
mitan可以自行对"fofa、Hunter、360Quake、ZoomEye"进行配置,其中"Hunter"可以配置多个key。
此工具也是"GG安全"认可并进行赞助推广的哈
这么多大佬都很认可推广,本来想写个mitan的使用文章或者录个视频啥的,但是太多大佬发过了,我就不滥竽充数了。这里直接给大家贴链接,感兴趣的师傅们自行去看吧。
开发大佬的主页:kkbo8005https://space.bilibili.com/552795114黑客视角:全方位自动化信息收集神器https://www.bilibili.com/video/BV1Rms7ecEoG知攻善防实验室https://mp.weixin.qq.com/s/83fBFR3XrlOloOsdOA-4TQTools No.00001密探渗透测试工具https://mp.weixin.qq.com/s/8FNNU2a2i1BBFLQ3aQEU6g
福利放送
✦
再次声明:本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失,GG安全公众号和原文章作者不承担任何责任。
edusrc邀请码 | 玄机邀请码
免费不限量提供edusrc邀请码及玄机邀请码,可在的菜单栏资源获取-edusrc邀请码 | 玄机邀请码中获取。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...