真实学院渗透思路分享
通过搜索引擎语法对目标学校进行信息搜集
找到专升本信息,可以看到2022个学号和姓名
有了学号和姓名,就好办了,打开TG,打开helloworld,在这两千多个专升本上岸的学号中找一些名字不那么大众的
ok,找到了身份证号和姓名和学号,就可以重置密码了
输入新的密码就可以登陆进去了,但是学生的功能很少,只有请假,缴费之类的
找到了这个学校的app,果断下载出来,可以看到学院通信录,里面有各个单位的老师的工号
具体到岗位,可以看到老师的姓名和工号
有了老师的姓名和工号,再次打开TG,找一个比较偏门的名字,找到了身份证号
再次改密码
登陆成功,功能上多了很多
有一堆注入,dba权限,mysql,root用户
点到为止了
TCV:2
找到专升本信息,可以看到2022个学号和姓名
有了学号和姓名,就好办了,打开TG,打开helloworld,在这两千多个专升本上岸的学号中找一些名字不那么大众的
ok,找到了身份证号和姓名和学号,就可以重置密码了
输入新的密码就可以登陆进去了,但是学生的功能很少,只有请假,缴费之类的
找到了这个学校的app,果断下载出来,可以看到学院通信录,里面有各个单位的老师的工号
具体到岗位,可以看到老师的姓名和工号
有了老师的姓名和工号,再次打开TG,找一个比较偏门的名字,找到了身份证号
再次改密码
登陆成功,功能上多了很多
有一堆注入,dba权限,mysql,root用户
点到为止了
TCV:2
评论90次
刚去看了一下应该是sgk2023_03_30bot这个吧 免费的 如果可以师傅们帮我带个参数start=SGK_YEFOUC8Z刚看了一下贴吧规定 没有明确规定 如果违反了论坛规定麻烦各位管理大哥们 帮忙删一下谢谢各位
哦哦,看到了,找个不那么起眼的名字,哈哈
同名问题:找不那么出众的,但是楼主也找了一段时间才找到合适的吧,信息收集:裤子牛逼之,身份证号电话号码全都有
实战好文,文虽写的不长,但是为我们实战提供了参考价值---就是社工不要忽略,我这个日站不喜欢用社工钓鱼,看完楼主的文章,我以后日站一定要双管齐下,上次打东北虎王,我看一下某个大学的VPNxi统竟然没搞下来,但是有个团队用弱口令搞进去了,哎呀,我马得,比吃了屎都难受哇,被比下去了,被打脸了的感受可不好
果然,做好了信息收集=完成了百分之8,90的渗透
社工还得是社工库,哈哈
信息收集的尽头果然还是sgk
这个思路牛啊
好,看完增加思路
现在还能搜索到的学院信息应该很少很少了吧
SGK确实好用的,哈哈 楼主好厉害!
实战好文,文虽写的不长,但是为我们实战提供了参考价值---就是社工不要忽略,我这个日站不喜欢用社工钓鱼,看完楼主的文章,我以后日站一定要双管齐下,上次打东北虎王,我看一下某个大学的VPNxi统竟然没搞下来,但是有个团队用弱口令搞进去了,哎呀,我马得,比吃了屎都难受哇,被比下去了,被打脸了的感受可不好
好好好 思路清晰流畅
好思路 直接重置密码啊
这社工库是真。。。。
tg这
sgk,永远嘀神, 话说这个裤子稳定吗,怎么收费的
感谢大佬,成功重置了密码但是登陆要认证 gg了
SGK现在都在里面 很牛
遥想起很多年前肆无忌惮扒国内裤子的疯狂日子。。。 大数据搜索@xxx-inc.com 提取邮箱和密码,碰撞企业邮箱,进邮箱搜索vpn关键字 几分钟就能干进各种大型公司内网 。。。。。
受益匪浅啊
确实是个不错的思路,以前也用过类似的方法,进邮件xi统
秀到我了,这社工库用的确实可以
其实最重要的就是那个社工库的利用