思路|如何挖信息泄密漏洞

文章说明：

原创作者：Eugene（攻防实验室A组成员）

文章仅供思路参考，请勿用作非法攻击

我昨天挖到了一个腾讯的和一个上海交通大学的信息泄密漏洞，然后我看了看我提交的漏洞列表，大部分都是信息泄密漏洞，所以今天给大家分享一下如何挖信息泄密漏洞。 先看看几个图(#滑稽)

这两个是在TSRC平台提交的腾讯信息泄密

这些是在漏洞盒子提交的信息泄密，一般都是政府和教育网泄露居多

这是EduSrc的 看了那么多究竟该咋挖呢，那请看下面： 1.随缘找信息泄密 直接用Google hacking语法 语法如下： filetype:txt 登录 filetype:xls 登录 filetype:doc 登录 这三条是我经常用的Google hacking语法（后面的"登录"可以替换自己构造的语法，文件类型也是可以的）

2.如何构造语法： filetype:文件类型 文件内包含的内容 3.指定站点的Google hacking语法 指定站点其实也很简单，就直接在上面的语法前面加个site:xxx.com 例： site:baidu.com filetype:txt 登录账号 上面那条语法的意思是搜索baidu.com这个域名（包括子域）的txt文件并且文件内容里包含了登录账号这些关键词，你们可以针对目标站点进行改动。