实战敏感信息泄露高危漏洞挖掘利用

信息泄露介绍:

信息泄露就是某网站某公司对敏感数据没有安全的保护,导致泄露敏感被攻击者利用,例如泄露:账号,密码,管理员,身份证,数据库,服务器,敏感路径等等

信息泄露危害:

如果进了业务系统可以SQL注入,文件上传,getshell获取服务器权限高危操作

泄露信息利用:

例如:
可以根据账号,猜测默认密码,进入系统上传文件,getshell,等等操作
或者进一步对系统进行信息收集,获取其它信息进一步渗透。

平时挖漏洞的工作

很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规漏洞+逻辑漏洞(重要的可能就是思路猥琐一点),这些漏洞的测试方法本身不是特别复杂,一般混迹在安全圈子的人都能复现漏洞。
大家要是有不知道如何信息收集的话可以看看我之前写的信息收集文章:信息收集
服务器的相关信息(真实 ip,系统类型,版本,开放端口,WAF 等)
网站指纹识别(包括,cms,cdn,证书等),dns 记录
whois 信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
子域名收集,旁站,C 段等
google hacking 针对化搜索,pdf 文件,中间件版本,弱口令扫描等
扫描网站目录结构,爆后台,网站 banner,测试文件,备份等敏感文件泄漏等
传输协议,通用漏洞,exp,github 源码等
要收集敏感信息就多去收集敏感目录,一层接着一层去收集
3.敏感信息包括但不仅限于:
(1)网站绝对路径
(2)SQL语句
(3)中间件信息及版本
(4)程序异常、.svn、.git、.DS_Store、.idea等
不怕没有洞,就怕你不够耐心。

信息泄露挖掘

在某次项目渗透测试中,通过信息收集,找到了一处系统
在这里插入图片描述
第一时间尝试弱口令测试好多次都没进去,字典枚举也没有
但是我通过字典扫描探测发现一处上传目录:
https://ip/upload/
打开一看都是文件,通过一个个查找在看到某个写在:用户账号管理文件
点进去是一个xlsx文件,直接下载下来
在这里插入图片描述

信息泄露在实战的作用

那现在已经拿到系统的全部账号但是没有密码
没有密码是不构成危害的
所以我谁便挑一个大冤种账号来跑字典
最后跑出来默认密*码全都是*****
哈哈哈直接进入系统
在这里插入图片描述
接下来就可以各种方式去挖高危漏洞了!@加油@ !
注意:下次在带大家去挖其它高危漏洞,分享永无止境,谢谢大家。

总结:

这次带领大家了解了信息泄露挖掘和实际利用,有喜欢的可以点个关注!
我会持续更新质量更好的文,后面会持续更新在实战过程中挖掘漏洞技巧的专栏

**声明:**本作者所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本作者不承担相应的后果。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/30299.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

九龙证券|算力大基建来了!交易额提高32倍,打造算力南线主干道

贵州省算力建造规划出炉,三年内算力进步超11倍,打造我国“东数西算”南线主干道。 贵州省发布算力建造规划 日前,贵州省大数据开展管理局发布《关于印发面向全国的算力保证基地建造规划的告诉》(以下简称《告诉》)。《…

国家级「超算互联网」正式部署,看看哪一类人最先吃上「红利」?

继新基建、东数西算之后,我国算力基础设施产业链又迎来一大利好消息——科技部发起成立国家超算互联网联合体(以下简称“超算互联网”)!二级市场最先做出反应,算力概念股连续两日收涨,有个股今日涨超近10%。…

行业报告 | 清华大学AIGC发展研究1.0震撼发布!(技术+未来篇)

文 | BFT机器人 01 技术篇 深度学习进化史:知识变轨 风起云涌 已发生的关键步骤: 人工神经网络的诞生 反向传播算法的提出 GPU的使用 大数据的出现 预训练和迁移学习 生成对抗网络 (GAN) 的发明 强化学习的成功应用 自然语言处理的突破 即将发生的关键步骤…

抱歉,今年我劝各位真的别轻易离职!

今天想跟大家说几句心里话,算是有感而发吧。希望我的读者看完都能重视起来。 给大家分享一个读者的留言。 “博主大大你好,我最近遇到一件事,我为了我女朋友裸辞了,目前我还处在失业状态,但是她还是和其他男生跑了&…

为数字人充值AI情商 小冰“克隆人”要卖给谁?

近日,小冰公司启动“GPT克隆人计划”,据悉最短只要采集三分钟数据,就能帮助用户创造源于本人性格、技能、声音、外貌的AI克隆人,如同拥有“平行世界的第二人生”。 这不免让人想起了《流浪地球2》里华仔为剧中女儿“数字续命”的…

时隔一个月,讯飞星火大模型 V1.5 发布:星火 APP 登场,综合能力三大升级!

6月9日,在科大讯飞24周年庆上,讯飞星火认知大模型V1.5正式发布。时隔一月,星火大模型不仅各项能力获得持续提升,且在综合能力上实现三大升级:开放式知识问答取得突破,多轮对话、逻辑和数学能力再升级。星火…

【ChatCat】文档阅读提问效率工具

目录 ChatCat网站及登录 【ChatCat】网站地址:https://chat.behye.com/​ 登录 使用手册 创建新文档机器人 上传文件,等待解析 自动生成文本摘要及推荐问题,也可以直接提问文本相关问题 共享该聊天机器人(团队文档协作真的…

【分享】国内用户直连的GPT,轻轻松松玩转GPT

前言 该项目使用github目前很火的 ChatGPT Next Web搭建而成 https://github.com/Yidadaa/ChatGPT-Next-Web 直连GPT直达gpt.v2li.top 演示如下

教大家用python画皮卡丘的脸

仅以此程序送给我的姐姐,嘻嘻~ 效果图 用到的库是python的标准库turtle。 话不多说,上程序! 1.导入turtle库 2.写皮卡丘各部位的函数 鼻子: 眼睛: 脸: 嘴巴: 配置画笔画布参数&#xff1…

Reward Modelling(RM)and Reinfo

Reward Modelling(RM)and Reinfo 文章标签数据语言模型强化学习文章分类jQuery前端开发阅读数254 Reward Modelling(RM)and Reinforcement Learning from Human Feedback(RLHF)for Large language models&…

使用 RLHF 训练 LLaMA 的实践指南:StackLLaMA

由于LLaMA没有使用RLHF,后来有一个初创公司 Nebuly AI使用LangChain agent生成的数据集对LLaMA模型使用了RLHF进行学习,得到了ChatLLaMA模型,详情请参考:Meta开源的LLaMA性能真如论文所述吗?如果增加RLHF,效…

基于人类反馈的强化学习(RLHF) 理论

gpt 进程 GPT-1 用的是无监督预训练 有监督微调,只有简单的单向语言模型任务;GPT-2用的是纯无监督预训练,使用更多的数据,更大的模型,又新增了几个辅助的训练任务;GPT-3 沿用了 GPT-2 的纯无监督预训练&a…

【疑难杂症】overleaf公式显示异常并且被重复添加至正文内,正文内$符号消失,编译报错Missing $ inserted.inserted text。

问题描述 此问题困扰本人许久,搜索了许多相关情况都没有我这样的。每次编译后,overleaf中的公式会编译错误,并且被莫名其妙地添加到正文中,而且原来引用公式的dollar符号$$也异常消失。 问题举例 原始文本: 编译后…

【ChatGPT】从人类反馈 (RLHF) 中进行强化学习 | Illustrating Reinforcement Learning from Human Feedback (RLHF)

从人类反馈 (RLHF) 中进行强化学习 | Illustrating Reinforcement Learning from Human Feedback (RLHF) 目录

python 用 xlwings 处理 Excel 中的重复数据

xlwings 简介 xlwings 是一个 Python 库。简化了 Python 和 Excel 通信。 xlwings - 让Excel跑得飞快! 本文写作背景 & 需求 & 方案 因前几个月帮在医院工作的朋友现学现卖用VBA写了段程序,处理2个excel文档的数据到第3个Excel文档上,有模板数据…

解决Chrome网页编码显示乱码的问题

解决Chrome网页编码显示乱码的问题 记得在没多久以前,Google Chrome上面出现编码显示问题时,可以手动来调整网页编码问题,可是好像在Chrome 55.0版以后就不再提供手动调整编码,所以如果现在遇到big 5被误判为UTF8的网页问题时&…

全网最详细中英文ChatGPT-GPT-4示例文档-从0到1快速入门语法纠正应用——官网推荐的48种最佳应用场景(附python/node.js/curl命令源代码,小白也能学)

从0到1快速入门语法纠正应用场景 Introduce 简介setting 设置Prompt 提示Sample response 回复样本API request 接口请求python接口请求示例node.js接口请求示例curl命令示例json格式示例 其它资料下载 ChatGPT是目前最先进的AI聊天机器人,它能够理解图片和文字&…

ChatGPT其实无法获得法学保研资格

ChatGPT通过了美国明尼苏达大学法学院4门课程的考试,95个选择题、12个论述题,平均分为C;也通过了宾夕法尼亚大学沃顿商学院的考试,成绩也不错。但是在当下内卷的情形下,ChatGPT的考试成绩不会获得保研资格,…

chatgpt赋能python:Python摄像头运用介绍

Python摄像头运用介绍 Python是一种广泛应用于各种领域的高级编程语言。其中,Python摄像头应用越来越受欢迎,尤其是在计算机视觉和机器学习领域。本文将介绍Python摄像头运用的相关知识。 什么是Python摄像头运用? Python摄像头运用是使用…

NAT技术之NAT server

技术背景: 在很多场景中,比如企业、学校、甚至家里都有一些对外访问的业务提供,比如门户网址、NAS、ERP等,在实际部署中,这些提供访问的服务器都属于内网内,配置的是内网地址,导致的情况是公网…