思路|如何挖資訊泄密漏洞

• 2020 年 3 月 6 日
• 筆記

文章說明：

原創作者：Eugene（攻防實驗室A組成員）

文章僅供思路參考，請勿用作非法攻擊

我昨天挖到了一個騰訊的和一個上海交通大學的資訊泄密漏洞，然後我看了看我提交的漏洞列表，大部分都是資訊泄密漏洞，所以今天給大家分享一下如何挖資訊泄密漏洞。 先看看幾個圖(#滑稽)

這兩個是在TSRC平台提交的騰訊資訊泄密

這些是在漏洞盒子提交的資訊泄密，一般都是政府和教育網泄露居多

這是EduSrc的 看了那麼多究竟該咋挖呢，那請看下面： 1.隨緣找資訊泄密 直接用Google hacking語法 語法如下： filetype:txt 登錄 filetype:xls 登錄 filetype:doc 登錄 這三條是我經常用的Google hacking語法（後面的"登錄"可以替換自己構造的語法，文件類型也是可以的）

2.如何構造語法： filetype:文件類型 文件內包含的內容 3.指定站點的Google hacking語法 指定站點其實也很簡單，就直接在上面的語法前面加個site:xxx.com 例： site:baidu.com filetype:txt 登錄帳號 上面那條語法的意思是搜索baidu.com這個域名（包括子域）的txt文件並且文件內容里包含了登錄帳號這些關鍵詞，你們可以針對目標站點進行改動。