真实学院渗透思路分享
通过搜索引擎语法对目标学校进行信息搜集
找到专升本信息,可以看到2022个学号和姓名
有了学号和姓名,就好办了,打开TG,打开helloworld,在这两千多个专升本上岸的学号中找一些名字不那么大众的
ok,找到了身份证号和姓名和学号,就可以重置密码了
输入新的密码就可以登陆进去了,但是学生的功能很少,只有请假,缴费之类的
找到了这个学校的app,果断下载出来,可以看到学院通信录,里面有各个单位的老师的工号
具体到岗位,可以看到老师的姓名和工号
有了老师的姓名和工号,再次打开TG,找一个比较偏门的名字,找到了身份证号
再次改密码
登陆成功,功能上多了很多
有一堆注入,dba权限,mysql,root用户
点到为止了
TCV:2
找到专升本信息,可以看到2022个学号和姓名
有了学号和姓名,就好办了,打开TG,打开helloworld,在这两千多个专升本上岸的学号中找一些名字不那么大众的
ok,找到了身份证号和姓名和学号,就可以重置密码了
输入新的密码就可以登陆进去了,但是学生的功能很少,只有请假,缴费之类的
找到了这个学校的app,果断下载出来,可以看到学院通信录,里面有各个单位的老师的工号
具体到岗位,可以看到老师的姓名和工号
有了老师的姓名和工号,再次打开TG,找一个比较偏门的名字,找到了身份证号
再次改密码
登陆成功,功能上多了很多
有一堆注入,dba权限,mysql,root用户
点到为止了
TCV:2
评论90次
刚去看了一下应该是sgk2023_03_30bot这个吧 免费的 如果可以师傅们帮我带个参数start=SGK_YEFOUC8Z刚看了一下贴吧规定 没有明确规定 如果违反了论坛规定麻烦各位管理大哥们 帮忙删一下谢谢各位
哦哦,看到了,找个不那么起眼的名字,哈哈
同名问题:找不那么出众的,但是楼主也找了一段时间才找到合适的吧,信息收集:裤子牛逼之,身份证号电话号码全都有
实战好文,文虽写的不长,但是为我们实战提供了参考价值---就是社工不要忽略,我这个日站不喜欢用社工钓鱼,看完楼主的文章,我以后日站一定要双管齐下,上次打东北虎王,我看一下某个大学的VPNxi统竟然没搞下来,但是有个团队用弱口令搞进去了,哎呀,我马得,比吃了屎都难受哇,被比下去了,被打脸了的感受可不好
渗透哪项强,社工最称王😄
验证步骤里面的安全验证是啥呀?就是身份验证之后,重置密码之前
确实,搞学校之类的,开始都是先找泄露的学号啥的。去群里翻群文件也有不少东西
卧槽 sgk牛逼
思路很好,打学校还得靠sgk
可以的 思路不错 之前都是用贴吧和google语法找 却忘了还有tg这个神奇的东西
学校的xi统果然还是进到后台就好办了
TG 上还有免费的SGK啊
社工YYDS,666
这种站点一般没有waf嘛?
不是说tmd跑路了么
表哥很秀,目前好用的裤子 没多少了,且用且珍惜。
渗透那家强,社工+信息收集
sgk牛 这个咋感觉是专门收集学校的?
想问一下佬,忘记密码安全验证那一步是咋绕过的,是校验了什么,手机号嘛还是啥
哥们,即便是交EDUSRC也不允许你直接这么改数据吧?
这个信息收集的思路可以的
这思路太厉害了, 在搜索语法中, 是不是把filetype:pdf改为filetype:excel更好一些?
信息泄露的危险是真的大
同名问题:找不那么出众的,但是楼主也找了一段时间才找到合适的吧,信息收集:裤子牛逼之,身份证号电话号码全都有