官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
对某厂商演示系统(EDU)一次奇妙的漏洞挖掘
拂尘F_Chen- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
一、前言
又是一个风和日丽的下午,本着对大学的期待和向往,想着对大学的人文文化更加深入了解一下,于是找到了某大学的教务系统跟它碰撞出友情的火花。
这里薛微等下,插入一段免责声明:
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责。
二、正文
于是通过信息收集找到了学校的教务系统。
不知道为什么,这系统我越看越像厂商的演示系统,可能是一种直觉吧?
先不管这些,这些都不中要,挖挖看?打开F12就是干!
果然,运气好的人运气不会太差:
拿到管理员的token,用jwt.io解密:
弱口令永远的神!
于是乎,就通过弱口令进入了管理员权限的后台,让我更加深入的学习大学文化和精神。
可试读前30%内容
¥ 9.9 全文查看
9.9元开通FVIP会员
畅读付费文章
畅读付费文章
最低0.3元/天
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
拂尘F_Chen
翩若惊鸿,宛若游龙。
已在FreeBuf发表 3 篇文章
本文为 拂尘F_Chen 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
拂尘F_Chen LV.2
翩若惊鸿,宛若游龙。
- 3 文章数
- 10 关注者
经验分享 | EDU从邮箱绕过到系统通杀
2024-10-21
记一次EDU运气加成的高危漏洞挖掘
2024-05-02
文章目录