开学季,获取师妹微信的新方式
Gcow安全团队
共 552字,需浏览 2分钟
·
2020-09-10 04:51
经历了一个疫情,这不就要开学了。每到新生开学季,我们学校某社交公众号都会有一个活动叫新生爆照活动!
当我点开之后发现是一个投稿的网站,里面还有一个文件上传的点,啊。这!那就测试一番
emmmm我觉得还是算了,这里直接302跳转,而且还不知道图片的路径,也不好测试。而且图片也肯定会在后台筛选的吧!那我就从这个网站入手了。点开这个我网站管理登陆点。
啊,这怎么这么熟悉呢这个URL。是吧我就不多说了嘿嘿嘿。
经过测试这个网站,并无RCE漏洞。但是巧的是发现了这个网站配置错误导致的信息泄露 ,嘿嘿嘿!
这个也太巧了吧!通过这个信息泄露我找到了它的后台管理的登陆账号信息。
接着利用账号和密码直接登陆管理后台,啊 这 !
这就结束了嘛,其实这个管理后台是很多学校的哦!里面有好多好多学校的小姐姐呢。接着我利用Python写一个小工具,批量获取它的账号密码。
啊这!!!最后获取了几十个公众号管理的账号密码,登陆进去也是不同学校的。啊!这!不得不说其他学校的小姐姐也挺漂亮的哦!
评论