[限时投稿]edusrc的一些挖掘思路+一次实战(某大学的越权漏洞)

喜欢悠哉独自在   ·   发表于 2022-02-26 14:52:14   ·   实战纪实

一、信息收集

1、这几天14期也快结课,闲的时候去逛了逛edusrc,看着里面的大佬挖洞很是羡慕,于是自己就去尝试挖了下edu。

2、挖edu首先得把信息收集到位

(1)学号、工号、电话、邮箱、默认密码、身份证信息等等。

(2)子域名、旁站、C段、站点下的目录文件、JS接口等等。

(3)每个子站的配置环境、用的系统或者是CMS、系统的默认密码等等。

(4)有些学校的网站系统是外包给别的公司开发的,有时候可以从系统开发公司下手。

3、于是乎我就找了大学下手(这里只是简单的进行了下信息收集)

(1)找学号信息

![](https://nc0.cdn.zkaq.cn/md/11975/20220226/02f3d98f-91e5-4831-a2f7-c3cb0fa63ed5.png)



因为本人较菜,所以也就是随便找了些学号就开干了

用户名金币积分时间理由
奖励系统 50.00 0 2022-03-24 13:01:32 投稿满 5 赞奖励
Track-子羽 30.00 0 2022-02-27 11:11:35 活动奖励
Track-子羽 60.00 0 2022-02-27 11:11:19 一个受益终生的帖子~~

打赏我,让我更有动力~

4 条回复   |  直到 2022-5-30 | 5170 次浏览

常长老
发表于 2022-3-15

是修改任意账户的密码,还是说只能修改密码为123456的账户的密码?

评论列表

  • 加载数据中...

编写评论内容

Track-劲夫
发表于 2022-2-26

越权漏洞之类的最好用自己的账号测试

评论列表

  • 加载数据中...

编写评论内容

ZKAQ-枫
发表于 2022-3-1

兄弟咋测的别人账号,,,,

评论列表

  • 加载数据中...

编写评论内容

310011903
发表于 2022-5-30

这个没法自己注册账号,又不能用别人账号测试的话怎么办,有没有其他方法进行越权漏洞的测试?

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.