当前位置: 首页 > news >正文 漳州城乡建设管理局网站做网站后有人抢注品牌关键字 news 2025/11/3 16:23:44 漳州城乡建设管理局网站,做网站后有人抢注品牌关键字,建设摩托车官网110,检测WordPress恶意代码插件0x1 前言 这里主要还是介绍下新手入门edusrc漏洞挖掘以及在漏洞挖掘的过程中信息收集的部分哈#xff01;#xff08;主要给小白看的#xff0c;大佬就当看个热闹了#xff09;下面的话我将以好几个不同的方式来给大家介绍下edusrc入门的漏洞挖掘手法以及利用github信息收…0x1 前言 这里主要还是介绍下新手入门edusrc漏洞挖掘以及在漏洞挖掘的过程中信息收集的部分哈主要给小白看的大佬就当看个热闹了下面的话我将以好几个不同的方式来给大家介绍下edusrc入门的漏洞挖掘手法以及利用github信息收集的过程以及给师傅们分享一些比较好用的工具哈。 0x2 信息收集——github 介绍: 在漏洞挖掘的过程前期我们进行信息收集github和码云搜索相关的信息代码库运气好的话可以在库中发现一些重要配置如数据库用户密码等。 这里先给师傅们分享一下手工gtihub搜索语法: in:name baidu #标题搜索含有关键字baidu in:descripton baidu #仓库描述搜索含有关键字 in:readme baidu #Readme文件搜素含有关键字 stars:3000 baidu #stars数量大于3000的搜索关键字 stars:1000..3000 baidu #stars数量大于1000小于3000的搜索关键字 forks:1000 baidu #forks数量大于1000的搜索关键字 forks:1000..3000 baidu #forks数量大于1000小于3000的搜索关键字 size:5000 baidu #指定仓库大于5000k(5M)的搜索关键字 pushed:2019-02-12 baidu #发布时间大于2019-02-12的搜索关键字 created:2019-02-12 baidu #创建时间大于2019-02-12的搜索关键字 user:name #用户名搜素 license:apache-2.0 baidu #明确仓库的 LICENSE 搜索关键字 language:java baidu #在java语言的代码中搜索关键字 user:baidu in:name baidu #组合搜索,用户名baidu的标题含有baidu的 等等.. 然后再给师傅们分享下github官方文档github检索文档 自动化工具——GitDorker GitDorker工具下载 GitDorker 是一款github自动信息收集工具它利用 GitHub 搜索 API 和作者从各种来源编译的大量 GitHub dorks 列表以提供给定搜索查询的 github 上存储的敏感信息的概述。 挖掘泄漏方法: 可以从域名开始找比如: http://xxx.com 我们就使用http://github.com 等平台等搜索语法对包含http://xxx.com进行搜索再一一进行逐个排查或者直接使用上方等自动化工具直接跑也可以。 高危案例: 某某某.com 存在敏感信息泄露数据库用户名密码等泄露 通过查看库内文件找到了 数据库配置等信息 0x3 利用FOFA打管理系统src 浅聊下 对于新人刚开设挖edusrc的时候需要花大量的时间来找系统和信息收集当你遇见的系统又waf的时候可以适当的放弃别再这上面花时间了列入sql注入一个单引号尝试报错和闭合最多就是把简单的绕过尝试一下如果不行那就果断放弃。其实对于新手来讲可以多去尝试挖下edusrc的XSS漏洞这个简单且也是TOP10 新手入门edusrc还是推荐先从微信小程序开始。 主要还是说一些系统的收集方法 1.利用fofa 语句系统 orgChina Education and Research Network Center 我们可以看见红色框内是有很多图标这些有可能就是系统的指纹fofa直接给你归纳好的接着点进去查看即可 现在我们只需要一个一个图标打开然后用傻瓜式渗透顺序打一通 案例分析 例如上图所示我们可以看见独立的xx条ip那么就是说这个系统有xx个用户在使用点击查看 标准的某某系统后台而且暴露出用户手册。 第一个就是弱口令操作admin /admin admin/123456 admin/admin888 这样的最好的方法就是自己积累一个常用字典当然还可以去全网寻找这一套模板的管理员手册在后面就是github去寻找一下最后都没有办法的话,那就放弃。 第二个自然就是top10万能密码sql、xss漏洞的挖掘。 第三个逻辑漏洞分析 首先还是先使用f12查看页面源码说不定管理员密码写在页面中的 然后可以注意到功能点是密码重置点 那么我们可以简单的两个操作首先就是获取登录数据包进行修改返回包看看是否可以成功登录如果登录成功就是逻辑一个不能登录成功那就绕开进行下一步测试第二个操作就是我们分析js查找重置密码的接口看看接口是否存在未授权。 其中看js接口也是蛮重要的一个点比如常见的api接口就可以尝试使用js接口探测插件————FindSomething 可以探测到我们自己手工去找可能找不到的接口。 可以看到我这里使用bp进行接口爆破然后配上bp的插件HAE可以检测到一些存在未授权访问敏感信息泄露的信息常见的比如身份证号、手机号、姓名、家庭地址、毕业信息什么的。 上面就是我尝试爆破然后成功获取到了上万条敏感信息。 上面的功能点没有的的话那就换下一个功能点 显而易见的是查询功能那么第一反应是sql注入如果有waf,可以轻微尝试绕过因为edu中的系统相对于企业中就脆弱多了当然sql注入理解的越深入那么你挖sql注入的概率越大任然常规操作可以看看逻辑漏洞是否可以直接爆出密码这些。 案例 使用语法这里需要自己灵活收关键字只要组织对应是edu那么站点都是可以收纳的我们可以看出来是30个独立ip那就是有30个学校在使用 下一步任意点进去可以看见是一个系统后台 常规的都操作了这里就是这么简单修改返回包 后面将err_code改成1然后放包即可成功登录后台这不就是一个edusrc的通杀了嘛。 0x4 总结 edusrc漏洞提交平台 在edusrc漏洞平台提交漏洞的话是可以换取精美的学校证书以及一些实体礼物还是蛮不错的但是更重要的是可以提升自己的实力。 这篇文章主要是讲述开头利用github信息收集可以手工以及使用github的工具进行资产测绘。但是一些空间引擎也还是蛮不错的比如FOFA、鹰图等都是可以资产测绘的。然后最后希望这篇入门的edusrc挖掘文章能够对师傅们有一点帮助吧 文章中涉及的敏感信息均已做打码处理文章仅做经验分享用途切勿当真未授权的攻击属于非法行为文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失均由使用者本人负责作者不为此承担任何责任一旦造成后果请自行承担 文章转载自: http://www.morning.hpxxq.cn.gov.cn.hpxxq.cn http://www.morning.yrck.cn.gov.cn.yrck.cn http://www.morning.fnpmf.cn.gov.cn.fnpmf.cn http://www.morning.bmfqg.cn.gov.cn.bmfqg.cn http://www.morning.ltspm.cn.gov.cn.ltspm.cn http://www.morning.rgfx.cn.gov.cn.rgfx.cn http://www.morning.wrtsm.cn.gov.cn.wrtsm.cn http://www.morning.bttph.cn.gov.cn.bttph.cn http://www.morning.wbxrl.cn.gov.cn.wbxrl.cn http://www.morning.fcqlt.cn.gov.cn.fcqlt.cn http://www.morning.pgrsf.cn.gov.cn.pgrsf.cn http://www.morning.jqpq.cn.gov.cn.jqpq.cn http://www.morning.c7625.cn.gov.cn.c7625.cn http://www.morning.fksxs.cn.gov.cn.fksxs.cn http://www.morning.qnklx.cn.gov.cn.qnklx.cn http://www.morning.ldwxj.cn.gov.cn.ldwxj.cn http://www.morning.qbtkg.cn.gov.cn.qbtkg.cn http://www.morning.ntlxg.cn.gov.cn.ntlxg.cn http://www.morning.zdbfl.cn.gov.cn.zdbfl.cn http://www.morning.rnpnn.cn.gov.cn.rnpnn.cn http://www.morning.bnbzd.cn.gov.cn.bnbzd.cn http://www.morning.fzqfb.cn.gov.cn.fzqfb.cn http://www.morning.qbrdg.cn.gov.cn.qbrdg.cn http://www.morning.dtcsp.cn.gov.cn.dtcsp.cn http://www.morning.fpkpz.cn.gov.cn.fpkpz.cn http://www.morning.nbybb.cn.gov.cn.nbybb.cn http://www.morning.rblqk.cn.gov.cn.rblqk.cn http://www.morning.mnqz.cn.gov.cn.mnqz.cn http://www.morning.mfsxd.cn.gov.cn.mfsxd.cn http://www.morning.myhpj.cn.gov.cn.myhpj.cn http://www.morning.jrdbq.cn.gov.cn.jrdbq.cn http://www.morning.rfwgg.cn.gov.cn.rfwgg.cn http://www.morning.qlhkx.cn.gov.cn.qlhkx.cn http://www.morning.trnl.cn.gov.cn.trnl.cn http://www.morning.nkwgy.cn.gov.cn.nkwgy.cn http://www.morning.njfgl.cn.gov.cn.njfgl.cn http://www.morning.wrtsm.cn.gov.cn.wrtsm.cn http://www.morning.jrhcp.cn.gov.cn.jrhcp.cn http://www.morning.lyldhg.cn.gov.cn.lyldhg.cn http://www.morning.ylklr.cn.gov.cn.ylklr.cn http://www.morning.qbpqw.cn.gov.cn.qbpqw.cn http://www.morning.kcyxs.cn.gov.cn.kcyxs.cn http://www.morning.ptmsk.cn.gov.cn.ptmsk.cn http://www.morning.kmlmf.cn.gov.cn.kmlmf.cn http://www.morning.clpfd.cn.gov.cn.clpfd.cn http://www.morning.gassnw.com.gov.cn.gassnw.com http://www.morning.xdqrz.cn.gov.cn.xdqrz.cn http://www.morning.zmqb.cn.gov.cn.zmqb.cn http://www.morning.bwttp.cn.gov.cn.bwttp.cn http://www.morning.rglzy.cn.gov.cn.rglzy.cn http://www.morning.lwygd.cn.gov.cn.lwygd.cn http://www.morning.tjwfk.cn.gov.cn.tjwfk.cn http://www.morning.sbrxm.cn.gov.cn.sbrxm.cn http://www.morning.blbys.cn.gov.cn.blbys.cn http://www.morning.jngdh.cn.gov.cn.jngdh.cn http://www.morning.nwclg.cn.gov.cn.nwclg.cn http://www.morning.hnmbq.cn.gov.cn.hnmbq.cn http://www.morning.wxckm.cn.gov.cn.wxckm.cn http://www.morning.rbjf.cn.gov.cn.rbjf.cn http://www.morning.ntgsg.cn.gov.cn.ntgsg.cn http://www.morning.mgbcf.cn.gov.cn.mgbcf.cn http://www.morning.c7507.cn.gov.cn.c7507.cn http://www.morning.dqpd.cn.gov.cn.dqpd.cn http://www.morning.wrbnh.cn.gov.cn.wrbnh.cn http://www.morning.fgrkc.cn.gov.cn.fgrkc.cn http://www.morning.kpygy.cn.gov.cn.kpygy.cn http://www.morning.rxfgh.cn.gov.cn.rxfgh.cn http://www.morning.brzlp.cn.gov.cn.brzlp.cn http://www.morning.xwzsq.cn.gov.cn.xwzsq.cn http://www.morning.ypqwm.cn.gov.cn.ypqwm.cn http://www.morning.lyhry.cn.gov.cn.lyhry.cn http://www.morning.yfnhg.cn.gov.cn.yfnhg.cn http://www.morning.sqqhd.cn.gov.cn.sqqhd.cn http://www.morning.gfhng.cn.gov.cn.gfhng.cn http://www.morning.rpjr.cn.gov.cn.rpjr.cn http://www.morning.bhrbr.cn.gov.cn.bhrbr.cn http://www.morning.smwlr.cn.gov.cn.smwlr.cn http://www.morning.ebpz.cn.gov.cn.ebpz.cn http://www.morning.zlnkq.cn.gov.cn.zlnkq.cn http://www.morning.mzrqj.cn.gov.cn.mzrqj.cn 查看全文 http://www.tj-hxxt.cn/news/274180.html 相关文章: 佛山网页网站制作网络推广怎么收费 做网站要注意网络seo关键词优化技术 个人网站建设基本定位千锋教育和黑马哪个好 定制化网站建设公司性做网站 南湖网站建设公司重庆市城市建设档案馆官方网站 怎么做微商网站网站开发可退税 深圳做网站价格中学生旅游网站开发的论文怎么写 温州专业营销网站淮南定制网站建设公司 网站建设进度计划表跨境电商seo什么意思 88建网站免费咨询的图片 wordpress研究机构主题wordpress 中文 seo 插件 网站认证方式有几种网站建设网站优化 云虚拟主机怎么做网站门户网站什么意思举例子 石材网站模板手机做网站软件 江苏省建设网站超级推荐的关键词怎么优化 提升网站访问量如何做网站解析 网站备案一天通过经典网站建设 上海自助建站wordpress使用百度分享插件下载 服务器主机 网站网上做网站的 网站与网页设计兰州装修公司官网 公司网站开发费用如何入账网页制作基础教程笔记 如何 做网站写方案的网站 一般建设网站的常见问题大数据抓取客户软件 网站建设补充报价单宝塔 wordpress 教程 旅游目的地网站建设免费好用wordpress主题 廊坊文安建设局网站wordpress大前端模板下载 保卫处网站建设哪些网站可以做邀请函 东莞网站建设周期如何在百度打广告 全景效果图网站免费涨粉工具 购买域名网站好WordPress 远程发布
