[限时投稿]edusrc的一些挖掘思路+一次实战(某大学的越权漏洞)
一、信息收集1、这几天14期也快结课,闲的时候去逛了逛edusrc,看着里面的大佬挖洞很是羡慕,于是自己就去尝试挖了下edu。2、挖edu首先得把信息收集到位(1)学号、工号、电话、邮箱、默认密码、身份证信息等等。(2)子域名、旁站、C段、站点下的目录文件、JS接口等等。(3)每个子站的配置环境、用的系统或者是CMS、系统的默认密码等等。(4)有些学校的网站系统是外包给别的公司开发的,有时候可以
菜弟弟挖的一个逻辑漏洞
一、起因1.看见最近补天的感恩活动,这还等什么,动起来啊,不然就没衣服过冬了2.赶紧打开我的fofa,一波搜索一下,发现了一个站,看着洞可能多站长之家看了下,这个站居然权5,怎么界面这么lou呢二、注册账号1.我们注册了一个账户,进去看看,跟他耍耍2.现在的我们是0积分,0币,看见了可以币换积分,积分换币要钱充值?看看能不能白嫖,毕竟白嫖最香嘛3.我们选择一个500积分换100币三、神器bur