免责声明
本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循法律法规。
该漏洞已上报
edusrc
并已修复,请勿打再次复现的主意。
本文章完全是为了水证书,分享一个信息泄露的快速打法,不喜勿喷,感谢大佬们的值正。
凌晨十二点,被
edu
群的师傅们卷醒,点进去发现,证书又上新了
信息搜集
首选
FOFA
,过一下学校资产,语法很简单
domain="xxxxxx.cn" && org="China Education and Research Network Center"
看到资产预料之中的不是很多,因为是凌晨时分,为了速战速决,祭出了绝大多数edu都无可避免的漏洞:
信息泄露
根据平台对危害的分级去分析,那么什么程度的信息泄露才有可能成为中级呢?
其实就是说,当信息泄露内容(sxf等)数量达到一定程度(其实也就是越多越严重),评级自然就高于
低危
了。
对于学校来说
sfz xh 密码 地址 电话等
都是学生的敏感信息
那么哪些文件里面存在这些信息呢?
很自然想到了一个地方,就是四六级成绩
直接结合谷歌语法搜索
site:xxxx.edu.cn 四级成绩
看到这个,离证书就又进了一步,点开链接
一共113条信息,其中包含了
2017-2014
年的学生四六级成绩单
和
针对这个证书站,从头到尾只用了15分钟,刷到了4k+学生的sfz,那么中危肯定是过了,第二天早上很快就审核通过了。
版权归原作者 北子Beizi 所有, 如有侵权,请联系我们删除。