背景
那年冬天,当我在一堆军训的人群中看见她的时候,便被她吸引住了。一头青丝绾在脑后,乌黑的眼睛水汪汪的一眨一眨充满无辜,多么清纯的一个妹子!可惜的是,博主当时太怂,没敢上前要微信,她的形象却烙在了我的脑中。转眼间,一年过去了,尽管每天游走在校园间,我却再也没有见到过她。本以为会继续下去,最后的结果也就是随着时间的流逝,我会渐渐地忘记,事情也就过去了。然而!直到某一天,我在学校的教务系统上发现了一个水平越权的漏洞,可以通过学生的学号获得其对应的照片!这让我又想起了她,然后开展了后续的一系列信息挖掘过程。
挖掘过程
我在学校的教务系统上进行测试时,发现在展现个人信息中的个人照片时,使用的是 <src=xxxx?getfile=学号.jpg> 的格式。这意味着,只要你在上面的url中填入一个正确学号,就可以获得学号所对应学生的照片。最后我编写了一个脚本,通过学号的构造规则,遍历所有的学号,获得我这一届(因为是军训的时候看见妹子的,所以肯定和我一届)所有学生的照片。然后就是笨方法了,通过一张一张照片的查看,找到了妹子,并得到其对应的学号。有了学号,就有了一个获取信息的线索。
但是要获取信息的话,哪里有我想要的信息呢?想要加妹子的微信,那大概要手机号,通过微信添加新朋友的通讯录添加功能,应该可以加到微信。想要加qq,那可以尝试获得邮箱,因为学生的邮箱一般用的都是qq邮箱。当我看到教务系统上非常详尽的个人信息的时候,就把第二步的目标定了下来——登录妹子的教务系统。开始了对教务系统的账号操作功能进行了测试。测试发现,在修改新密码处可以通过填写妹子的账号进行弱密码爆破,然而一轮字典下来爆破无果,最终把目标放在了登陆功能上。系统有两个登陆的功能点,一个是自带的登陆功能,一个是统一认证登陆的平台。在统一认证登陆平台的找回密码处,找回密码的凭证是生日日期和姓名。生日日期可以通过脚本遍历来找到,但是名字就不可以了,于是又陷入了新的一轮困境——要如何获得妹子的姓名。
那要如何才能获得妹子的姓名?那当然还是从学校的系统入手啊。学校一堆各种各样的系统,大部分的系统都是默认的初始密码,只要找到一个使用了初始密码并且可以爆破的系统,那别人的账号还不是随便登陆?于是,用工具对学校的二级域名进行了爬取,获得了一堆的二级域名,没多久就找到了一个用于记录体育成绩的系统,并成功的用妹子的账号登陆进去,获得了她的姓名。通过她的姓名,重置了统一身份认证登陆平台的密码,登陆进了教务系统,把她的身份证,手机号,邮箱,户口所在,专业,班级啥的资料都收集了下来。
后续
至此,整个挖掘过程应该是结束了。当然,只是获得了这些基础信息对我来说肯定还想知道的更多,还想提前了解一下她的兴趣啊,性格啊之类的。于是,当我在显示个人信息处挖掘挖到了一个存储型的self-xss的时候,就计划着在这里插一个js探针,然后发个“由于教务系统升级,导致你的个人信息丢失,请尽快前往教务系统补充完整”这样的虚假信息,让她触发探针,从而获得她在一些网络社交平台上的虚拟身份,要是再搜索一下,就能来个初步的了解了嘛。然而,这些我最后都没有实施。你问我为什么?我连加好友她都一直没通过!
ps:博主安全小白一枚,对社工也特别感兴趣,如果大家有什么好的文章和思路欢迎评论区分享一下~