[限时投稿]edusrc的一些挖掘思路+一次实战(某大学的越权漏洞)
一、信息收集
1、这几天14期也快结课,闲的时候去逛了逛edusrc,看着里面的大佬挖洞很是羡慕,于是自己就去尝试挖了下edu。
2、挖edu首先得把信息收集到位
(1)学号、工号、电话、邮箱、默认密码、身份证信息等等。
(2)子域名、旁站、C段、站点下的目录文件、JS接口等等。
(3)每个子站的配置环境、用的系统或者是CMS、系统的默认密码等等。
(4)有些学校的网站系统是外包给别的公司开发的,有时候可以从系统开发公司下手。
3、于是乎我就找了大学下手(这里只是简单的进行了下信息收集)
(1)找学号信息](https://nc0.cdn.zkaq.cn/md/11975/20220226/4c7c6675-9317-40f0-b74c-85723e0ab5f3.png)
因为本人较菜,所以也就是随便找了些学号就开干了
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| 奖励系统 | 50.00 | 0 | 2022-03-24 13:01:32 | 投稿满 5 赞奖励 |
| Track-子羽 | 30.00 | 0 | 2022-02-27 11:11:35 | 活动奖励 |
| Track-子羽 | 60.00 | 0 | 2022-02-27 11:11:19 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
实战纪实
Track-劲夫
发表于 2022-2-26
越权漏洞之类的最好用自己的账号测试
评论列表
加载数据中...
ZKAQ-枫
发表于 2022-3-1
兄弟咋测的别人账号,,,,
评论列表
加载数据中...
常长老
发表于 2022-3-15
是修改任意账户的密码,还是说只能修改密码为123456的账户的密码?
评论列表
加载数据中...
310011903
发表于 2022-5-30
这个没法自己注册账号,又不能用别人账号测试的话怎么办,有没有其他方法进行越权漏洞的测试?
评论列表
加载数据中...