EDU挖掘之信息泄露

最新推荐文章于 2024-02-01 14:34:53 发布
最新推荐文章于 2024-02-01 14:34:53 发布
阅读量454 收藏 7
点赞数 6
文章标签: 漏洞 漏洞挖掘 信息泄露
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/135968050
版权

1. 信息搜集

首先老语法先搜集一波,毕竟没有钓鱼和sg的能力,只能找注册站去挖挖了。
web.title=”XX大学”&&web.body=”忘记密码”&&web.body=”注册”

2. 漏洞挖掘

这里找到一个可以注册网站接口,先随便注册一个进去看看。

这里提供一个临时邮箱,保护自己的隐私也很重要。还是挺好用的哦!
 


https://temp-mail.org/zh/

注册完成登陆,点击个人中心里面我的队伍,然后创建一个。

这里结合Highlighter And Extractor 这个bp插件可以发现一些敏感信息泄露。

抓包之后发现,里面存在用户的敏感信息,身份证手机号以及个人ID等。

3. 总结

测试小技巧:测试的时候需要开启BP,可以先进入网站各个功能点一下,之后再查看HTTP历史记录,并搭配BP的插件,说不定漏洞就会展现到你面前。因为某些网站有些接口的功能,虽然前端页面不显示,但是返回包有时会泄露敏感信息。

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

zkzq
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息泄露漏洞挖掘技巧20200429.docx
04-29
总计信息泄露漏洞挖掘、利用、修补方式,主要包括.svn源代码泄露.git源代码泄露、httpsys漏洞检测以及利用方式,常见中间件的后台登录页面以及默认用户名密码。用于挖掘常见信息泄露漏洞,仅供学习使用
edu中src挖掘
weixin_58782362的博客
10-08 2293
进入内部:找账号信息,要看第一次用户信息返回的地方(页面初始化,最好是将第一次信息返回全部抓包)。判断信息是通过接口返回的,页面直接加载上去的,又或者是加载到js页面。第二步是根据积累经验,判断每个接口是什么用,说白了就是做对比,正常情况下和改完之后又是啥样子。理解接口含义,摒弃一些业务当中的固定数据,判断返回的参数来确定是否存在利用的价值。2.如果碰到空白页,找js,可能是api接口,盲猜接口,或者fuzz。进系统,找资产方法,github,只需要变更语法就可以找到。rce 版本框架漏洞 cms。
一次edu证书站的挖掘
qq_54731279的博客
02-23 707
一次edu证书站的挖掘
eduSRC那些事儿-1(信息泄露+弱口令)
最新发布
m0_74360619的博客
02-01 455
虽然图片比较模糊,但是通过仔细分析还是推出了身份证号后六位(原图未对学号、身份证后六位进行打码,使用网上图片清晰度处理工具加上手工分析得到相关结果),结合前面操作说明泄露的学号,构造账号密码成功登录统一认证平台,直接泄露全校数千名毕业生个人敏感信息,通过泄露的学号加上身份证号可以构造登录统一认证平台和vpn系统,对内网进行进一步渗透。在某些学校通告说明、操作技术文档、ppt说明等页面,可能会涉及到系统的一些操作,如果未打码或打码不全,就会造成信息泄露
SRC-edu 信息泄露快速刷分上分拓扑思路
qq_29437513的博客
04-21 6641
最近和很多群里大佬一块edu,企业,学到了很多东西,,单刷信息泄露刷到了月榜前10,
edusrc一处信息泄露登录统一平台
zkaqlaoniao的博客
12-28 525
我们都知道像大学之类的各种平台的登录账号基本上是学号,初始登录密码基本上是学生身份证的后6位再拼接上一些带有学校缩写的英文字母。所以我们在找漏洞的时候可以换一种思路,先通过去找身份证信息或者是有固定初始密码的平台来尝试,这样子成功的概率就会比较大。
教育行业edu漏洞挖掘思路小结
告白的博客
12-05 1万+
0x00 *法律法规的必要科普 *声明:本文章仅仅作为内容交流,不作为任何其他用途,请勿非法利用传播,均与本人无关。 漏洞挖掘要素:合法授权,合法测试授权范围内,按照甲方要求测试内,挖掘点到为止… 话不多说,先上图: 0x01 漏洞挖掘难易的介绍 1.漏洞挖掘现在大致分为三种类型,从易到难分别是: 参考 教育行业edu: https://src.sjtu.edu.cn/ cnvd平台: https://www.cnvd.org.cn/ 补天/漏洞盒子等项目:https://www.butia
广东工业大学文本信息挖掘-课设.zip
07-04
广东工业大学文本信息挖掘-课设.zip
数据挖掘之九大定律
01-30
数据挖掘是利用业务知识从数据中发现和解释知识(或称为模式)的过程,这种知识是以自然或者人工形式创造的新知识。当前的数据挖掘形式,是在20世纪90年代实践领域诞生的,是在集成数据挖掘算法平台发展的支撑下适合...
广东工业大学文本信息挖掘-作业
07-04
广东工业大学文本信息挖掘-作业
国内SRC漏洞挖掘技巧与经验分享
01-29
SRC经验文档
EDU漏洞挖掘建议与方法
08-14
信息泄露EDU 漏洞挖掘中另一种常见的漏洞信息泄露指的是教育机构的敏感信息泄露,例如数据库信息敏感文件等。我们可以使用各种工具和技巧来检测信息泄露,例如使用 JS 代码来检测密码泄露。 在信息泄露挖掘...
实战-edusrc漏洞挖掘
hackzkaq的博客
11-07 1062
登录之后发现了其他几个未授权的,这里就不一一叙述了,感觉还有sql注入和文件上传,但是有安恒edr和白名单限制,本人太菜,没有绕过就放弃了,最后给了一个4rank,部分漏洞还有人提交过,幸好我提的多,要不可能一分也没有,src重复的真的太多了《头疼》。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。不得不说,还真有啊,虽然没有给我直接的密码,但是却给了我重置密码的页面!所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
小白快速入门src挖掘(以edusrc平台为例)
hackzkaq的博客
10-20 239
我们可以在关于页面看到edusrc的收录规则现阶段,教育行业漏洞报告平台接收如下类别单位漏洞:教育部各省、自治区教育厅、直辖市教委、各级教育局学校教育相关软件可以看到不仅是大学的资产、还有小学初中高中的教育局的也可以交到上面、而资产不仅只有网站,也可以从小程序,app方面入手,不过这方面利用难度就要大一些。
基于公开网站挖掘敏感信息的研究与分析- Fofa 搜索
热门推荐
ploto_cs的博客
09-22 7万+
基于公开公开网站挖掘敏感信息的研究与分析- Fofa 搜索 一.引言 1.1项目概述 基于公开网站的敏感信息挖掘研究与分析:针对目前网络安全整体的趋势我们从google等搜索引擎、Github等代码库、FOFA等空间搜索这三个方面进行研究与分析,基于公开网站挖掘敏感信息,研究其中的各项技术,实现了敏感信息的定义及敏感信息挖掘方法。 1.2 需求分析 随着互联网的快速发展,网络中的信息呈现出爆炸型增长。然而由于网络应用程序本身的缺陷加上管理上的疏忽,越来越多的敏感信息暴露于公共网络之上,个人隐私、站点结构等敏
BurpSuite插件(BP插件、武装BP)
墨痕诉清风的博客
03-07 1534
目录 解决光标错位 HAE Domain Hunter Pro passive-scan-client-0.3.0 LinkFinder HTTPHeadModifer 解决光标错位 一般我拿到Burp必做的一件事就是把光标错位调整好: User options-Display-HTTP Message Display 黑体-24px HAE https://github.com/gh0stkey/HaE 此时才把插件导入进来,需要配置你的HAE正则。 公共规..
【实战】记录一次edusrc挖掘
2302_76827504的博客
07-27 1562
因为实际渗透会遇到一个登入框摆在面前的情况比较多,所以我选择的目标多数也是某某系统登入界面。
记一次eduSRC挖掘
guyingyinga的博客
03-04 1万+
eduSRC是一个专门收录国内高校漏洞的WEB平台,其以审核快,审核效率高而知名,白帽子提交指定高校漏洞并有证书经历以及Rank奖励,Rank可以在平台上换取衣服、键盘、证书等礼物,同样eduSRC的账号也是比较麻烦才能获得的,我研究了一下发现它有两种获取方法:我先使用了万能的百度语法搜索了一下,果然浮现在我眼前一大堆edu的站点,然后就是漫长的一个一个点击测试,什么信息收集,子域名扫描,端口扫描,都用上了(注:未经授权,禁止使用大规模扫描器),经过了漫长的测试,终究苍天不负有心人,终于被我找到了一个。 在
实战敏感信息泄露高危漏洞挖掘利用
chen_zhangkonzhe的博客
09-19 2267
信息泄露就是某网站某公司对敏感数据没有安全的保护,导致泄露敏感被攻击者利用,例如泄露:账号,密码,管理员,身份证,数据库,服务器,敏感路径等等这次带领大家了解了信息泄露挖掘和实际利用,有喜欢的可以点个关注!我会持续更新质量更好的文,后面会持续更新在实战过程中挖掘漏洞技巧的专栏**声明:**本作者所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本作者不承担相应的后果。
python招聘信息数据挖掘
10-15
Python招聘信息数据挖掘是一种利用Python编程语言和数据挖掘技术来分析和提取招聘信息的方法。在当前互联网时代,招聘行业越来越依赖数据来做出决策和优化招聘策略,因此,数据挖掘技术成为招聘行业的重要工具。 Python作为一种简洁易学且功能强大的编程语言,其拥有丰富的第三方库和工具,可以方便地进行数据挖掘和分析。结合Python的爬虫技术,可以从互联网上的招聘网站或招聘App中获取大量招聘信息数据。然后,通过数据挖掘技术,可以对这些数据进行清洗、处理、分析和建模,从中发现有价值的信息,如人物关系、职位需求趋势、薪资水平等。这些信息可以帮助企业了解市场需求,调整招聘策略,并提高招聘效率和质量。 在进行Python招聘信息数据挖掘时,需要具备Python编程基础和数据挖掘算法的知识。常用的数据挖掘算法包括关联规则、分类、聚类、预测等。通过编写Python代码,使用这些算法可以对招聘信息进行挖掘。同时,还需要对数据进行预处理和可视化分析,以便更好地理解数据和发现潜在模式。 总而言之,Python招聘信息数据挖掘是一种利用Python编程语言和数据挖掘技术来分析和提取招聘信息的方法。它可以帮助企业了解市场需求,优化招聘策略,提高招聘效率和质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值