真实学院渗透思路分享
通过搜索引擎语法对目标学校进行信息搜集
找到专升本信息,可以看到2022个学号和姓名
有了学号和姓名,就好办了,打开TG,打开helloworld,在这两千多个专升本上岸的学号中找一些名字不那么大众的
ok,找到了身份证号和姓名和学号,就可以重置密码了
输入新的密码就可以登陆进去了,但是学生的功能很少,只有请假,缴费之类的
找到了这个学校的app,果断下载出来,可以看到学院通信录,里面有各个单位的老师的工号
具体到岗位,可以看到老师的姓名和工号
有了老师的姓名和工号,再次打开TG,找一个比较偏门的名字,找到了身份证号
再次改密码
登陆成功,功能上多了很多
有一堆注入,dba权限,mysql,root用户
点到为止了
TCV:2
找到专升本信息,可以看到2022个学号和姓名
有了学号和姓名,就好办了,打开TG,打开helloworld,在这两千多个专升本上岸的学号中找一些名字不那么大众的
ok,找到了身份证号和姓名和学号,就可以重置密码了
输入新的密码就可以登陆进去了,但是学生的功能很少,只有请假,缴费之类的
找到了这个学校的app,果断下载出来,可以看到学院通信录,里面有各个单位的老师的工号
具体到岗位,可以看到老师的姓名和工号
有了老师的姓名和工号,再次打开TG,找一个比较偏门的名字,找到了身份证号
再次改密码
登陆成功,功能上多了很多
有一堆注入,dba权限,mysql,root用户
点到为止了
TCV:2
关于作者
评论79次
刚去看了一下应该是sgk2023_03_30bot这个吧 免费的 如果可以师傅们帮我带个参数start=SGK_YEFOUC8Z刚看了一下贴吧规定 没有明确规定 如果违反了论坛规定麻烦各位管理大哥们 帮忙删一下
谢谢各位
哦哦,看到了,找个不那么起眼的名字,哈哈
同名问题:找不那么出众的,但是楼主也找了一段时间才找到合适的吧,信息收集:裤子牛逼之,身份证号电话号码全都有
实战好文,文虽写的不长,但是为我们实战提供了参考价值---就是社工不要忽略,我这个日站不喜欢用社工钓鱼,看完楼主的文章,我以后日站一定要双管齐下,上次打东北虎王,我看一下某个大学的VPNxi统竟然没搞下来,但是有个团队用弱口令搞进去了,哎呀,我马得,比吃了屎都难受哇,被比下去了,被打脸了的感受可不好
tg这
sgk,永远嘀神, 话说这个裤子稳定吗,怎么收费的
感谢大佬,成功重置了密码但是登陆要认证 gg了
SGK现在都在里面 很牛
遥想起很多年前肆无忌惮扒国内裤子的疯狂日子。。。 大数据搜索@xxx-inc.com 提取邮箱和密码,碰撞企业邮箱,进邮箱搜索vpn关键字 几分钟就能干进各种大型公司内网 。。。。。
受益匪浅啊
确实是个不错的思路,以前也用过类似的方法,进邮件xi统
秀到我了,这社工库用的确实可以
其实最重要的就是那个社工库的利用
渗透哪项强,社工最称王😄
验证步骤里面的安全验证是啥呀?就是身份验证之后,重置密码之前
确实,搞学校之类的,开始都是先找泄露的学号啥的。去群里翻群文件也有不少东西
卧槽 sgk牛逼
思路很好,打学校还得靠sgk
可以的 思路不错 之前都是用贴吧和google语法找 却忘了还有tg这个神奇的东西
学校的xi统果然还是进到后台就好办了
TG 上还有免费的SGK啊
社工YYDS,666
这种站点一般没有waf嘛?
不是说tmd跑路了么