开学季,获取师妹微信的新方式

Gcow安全团队

共 552字,需浏览 2分钟

 ·

2020-09-10 04:51

经历了一个疫情,这不就要开学了。每到新生开学季,我们学校某社交公众号都会有一个活动叫新生爆照活动!





当我点开之后发现是一个投稿的网站,里面还有一个文件上传的点,啊。这!那就测试一番





emmmm我觉得还是算了,这里直接302跳转,而且还不知道图片的路径,也不好测试。而且图片也肯定会在后台筛选的吧!那我就从这个网站入手了。点开这个我网站管理登陆点。





啊,这怎么这么熟悉呢这个URL。是吧我就不多说了嘿嘿嘿。






经过测试这个网站,并无RCE漏洞。但是巧的是发现了这个网站配置错误导致的信息泄露 ,嘿嘿嘿!






这个也太巧了吧!通过这个信息泄露我找到了它的后台管理的登陆账号信息。







接着利用账号和密码直接登陆管理后台,啊 这 !






这就结束了嘛,其实这个管理后台是很多学校的哦!里面有好多好多学校的小姐姐呢。接着我利用Python写一个小工具,批量获取它的账号密码。






啊这!!!最后获取了几十个公众号管理的账号密码,登陆进去也是不同学校的。啊!这!不得不说其他学校的小姐姐也挺漂亮的哦!



浏览 12
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报