最近在冲edusrc,无意中发现一个学校的教务系统

QQ截图20210424225301.png

首先尝试,弱口令,测试无果后。
右键查看源代码发现有点意思的js代码
QQ截图20210424225507.png
分析一下登录后有5种情况,分别跳转以上几个链接
然后我就碰碰运气
最后测试到-5的那种情况
http://xxxxxx/Login/xueshengRenZheng/
QQ截图20210426231448.png
打开,测试一下admin能不能重置密码,发现账号和姓名需要一致
打开百度信息收集一波
QQ截图20210424225856.png
QQ截图20210424225946.png
然后确认,惊奇的发现跳到登录界面,然后测试了一下刚刚改的密码是否成功
QQ截图20210424230119.png
进入后台没发现有上传点,就直接提交edusrc了。

最后修改:2021 年 04 月 26 日 11 : 19 PM
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏