ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

记一次高校学生账户:从无到有

2022-06-21 17:03:04  阅读:135  来源: 互联网

标签:账户 xxx 高校学生 验证码 密码 从无到有 网安 邮箱


本次记录,意在表明信息收集的强大之处和引起高校对网络安全的重视!看看是如何从无到有的拿到学生账户…

在了解思路过后,可能会被各位大师傅吹…

狗头保命~~~~

0x01:先看看这个窗口

Http://xxx.xxx.xxx.xxx/login

记一次高校得学生账户密码得获取,从无到有141.png

发现密码要么是邮箱找回,要么是手机找回….

记一次高校得学生账户密码得获取,从无到有165.png 

0x02

到现在的思路,大概是

1. 手机验证码爆破,前提:知道学号+手机号+重置密码是发送验证码而不是连接

2. 邮箱验证码爆破,前提:知道学号+邮箱+重置密码是发送验证码而不是连接

上面的两种思路,多半悬….

 

(因为我是先挖好了洞,才写的文章,

所有我事先是知道了学号 +手机号….)

记一次高校得学生账户密码得获取,从无到有307.png记一次高校得学生账户密码得获取,从无到有309.png

 

验证码处做了校验….这条路堵住了….

 

0x03: 看看如何做的信息收集…..

(做信息收集的过程,一定要学会常见的excel来进行数据的清洗….,寻找到我们有用的账户…)

Google大法…

记一次高校得学生账户密码得获取,从无到有408.png记一次高校得学生账户密码得获取,从无到有411.png记一次高校得学生账户密码得获取,从无到有413.png

 

再经过长达半个小时的搜索,我发现了这样一个公告,没错就是这个公告,让我有了突破的方向…

 

 【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

 

3、电子邮件的用户名为:学号@xxx.xxx.xxx.cn,初始密码为:xxxx+身份证上生日8位(年月日)。Xxxx.xxx..xxx。

4、网上办事服务大厅账号信息里的电子邮件已默认绑定为学生的电子邮件账户

 记一次高校得学生账户密码得获取,从无到有570.png

账户的获取不一定要找到用户的密码,改密码也是一种思路,只要能够登录进去,那就什么好说…

从看到这个公告开始,我们的大致思路已经确立起来….

记一次高校得学生账户密码得获取,从无到有643.png

 

具体的思路:

寻敏感信息---然后通过邮箱去重置她的密码---最终拿到统一身份的账户

继续google,发现一处敏感信息泄露….泄露数量100条左右

记一次高校得学生账户密码得获取,从无到有724.png

 

这里有个点提醒下:可能很多学生会修改统一身份认证的密码,但是很多学生绝对不会去改学生邮箱的密码,常常习惯用手机号获取验证码改密码…

而我们改她的密码 使用邮箱改密码….

 

找到它的邮箱,进行登录好家伙,登录成功….

记一次高校得学生账户密码得获取,从无到有836.png

 0x04:

进统一身份认证了….

记一次高校得学生账户密码得获取,从无到有856.png记一次高校得学生账户密码得获取,从无到有858.png记一次高校得学生账户密码得获取,从无到有860.png记一次高校得学生账户密码得获取,从无到有863.png记一次高校得学生账户密码得获取,从无到有866.png 

然后我们摸进统一身份认证了….

于是

 

总结:

1. 总的来说,方法还是依旧是原来的方法,不一样的是,仔细细心…

2. 用于不要低估一个账户所带来的危害,哪怕是低权限的账户,也能把它的毛薅的一干二净…,比如这样….

3. 改密码的方式有很多,但是推荐使用手机号改密码,永远不要把密码规则公布出来,谁知道会发生什么呢?

4. 信息收集yyds, 从一位大师傅树立了这样一个观点:渗透测试的过程,就是从信息收集对抗的过程。内网也不例外!!如果收集到很多主机的账户密码,横向的过程就变成了不停的输入账户密码的过程…而且动静还很小…

 

更多靶场实验练习、网安学习资料,请点击这里>>

搜索

复制

标签:账户,xxx,高校学生,验证码,密码,从无到有,网安,邮箱
来源: https://www.cnblogs.com/hetianlab/p/16397449.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有