WooYun.org

涉及面很广.自评20不过分.能上首页最好了么么哒
利用搜索引擎抓取

site:http://www.bkjx1.sdu.edu.cn/ filetype:xls 学号
site:http://www.bkjx1.sdu.edu.cn/ filetype:xls 工资号
site:http://www.*.sdu.edu.cn/ filetype:xls 身份证

主要泄露网站为
http://www.bkjx1.sdu.edu.cn/userfiles/
和
http://www.bkjx1.sdu.edu.cn/uploadfiles/
如:2011届学号+身份证号共4000.由于下载的东西比较多,找不到下载链接了.抱歉!

2012年的1200行带身份证

山东大学所有老师的工资号和校园卡号

还有一些文件,都是比较涉及个人隐私的,希望修复.

然后,开始利用教师的信息
首先.找到了这个网站:

据图我们可以得知,得到了教职工的校园卡号和工资号就能做坏事了,而在刚才google hack 出来的文件里面有少量教职工的身份证信息:
首先可以用来登录这个网站:

ok,成功登录.可以获取免费的windows和office,不过我是linux,只测试了登录,没有修改任何数据

next:这个网站:

重置密码之后成功登录.截图麻烦,但是我想你们应该会相信我的
3.成功登录山大vpn.访问图书馆资源.
还有好多的类似这种小型网站:

还有咱们的课程中心:

默认账号密码均为老师的ID,区别于校园卡号
google 一下 site:*.sdu.edu.cn filetype:xls 孙娜 获取到ID登录成功

!最有威胁的是带身份证信息文件!
得到教师的身份证信息文件,能得到很多的东西.
在泄露的文件里面,有一份是 2011年4000余名学生的学号+身份证信息.而获得身份证信息可以去本科生综合管理系统重置密码从而获取学生更详细的信息.利用身份证信息+名字可以注册学信网

为了方便排查:我的最近下载记录如下:未经任何手动修改,不知道怎么导出只能保存为pdf格式
链接: http://pan.baidu.com/s/1o721KF4 密码: u7z5
更详细的文件泄露信息你们可以自己通过谷歌或者百度挖掘出来的...
利用教师账号可以登录众多网站.请妥善处理.
这次测试重置了一个老师的密码,可惜忘记了名字.在次表示歉意
本次测试没有恶意.只是希望我们能变得更好!未挂vpn,拒绝查水表
另:山大主页邮箱登录没有设置验证码,此次社工便使于此:
利用猪猪侠的top500用户名跑出一共四个账号,但是由于我保存不当只在剪切板上留下了一个:

[email protected] 密码123456

登录时候要求强制修改口令,修改为wooyuntest1234,抱歉!
另:希望管理员能把我的另外一个漏洞审核了.