漏洞经验分享——如何挖信息泄密漏洞

 

破壳学员罗最近挖到了一个腾讯的和一个上海交通大学的信息泄密漏洞，发现大部分都是信息泄密漏洞，所以决定给大家分享一下如何挖信息泄密漏洞。

准备好学习的姿势，先来看看几张看起来很牛逼的图！

这两个是在TSRC平台提交的腾讯信息泄密

这些是在漏洞盒子提交的信息泄密，一般都是政府和教育网泄露居多

这是EduSrc的

此处很多人内心OS:行行行，几张图看把你能的，你倒是快告诉我骚姿势呀！！

正确姿势如下

1.随缘找信息泄密

直接用Google hacking语法

语法如下：

filetype:txt 登录

filetype:xls 登录

filetype:doc 登录

这三条是我经常用的Google hacking语法

（后面的"登录"可以替换自己构造的语法，文件类型也是可以的）

2.如何构造语法

filetype:文件类型 文件内包含的内容

3.指定站点的Google hacking语法

指定站点其实也很简单，就直接在上面的语法前面加个site:http://xxx.com

site:http://baidu.com

filetype:txt 登录账号

上面那条语法的意思是搜索http://baidu.com这个域名（包括子域）的txt文件并且文件内容里包含了登录账号这些关键词，可以针对目标站点进行改动。

——————————————————————————————————————

学到姿势的别忘了点赞哟~

关注公众号：破壳学院

个性、有趣、好玩，魔鬼陪伴式的白帽黑客技术在线教学平台