数字世界的隐患：抖音背后的学生公寓漏洞揭秘

No.0

前言

在刷抖音的时候，突然发现一个奇怪的抖音账号，标题是“学生公寓招层长”，怎么会出现在我的推荐里呢？这账号是不是废了？我一直在刷到一些美女的内容，于是好奇心驱使下，决定进入主页看看。

No.1

事情的经过是这样的

进入主页一看，发现这是学工系统，居然还公开了初始密码。主要是因为看到很多美女的视频，我才多看了两眼，才发现这一点。

通过提供的URL进入查看，抖音提示需要进行DB认证。

于是我得到了登录点和密码，但抖音又说要用学号登录。

接着进行信息收集，通过site:xxx.edu.cn搜索，找到了学号。

既然有了学号，那就试试能不能成功登录。

根据抖音的提示进行DB认证登录。

成功登录

同时泄露了手机号。

在后台发现泄露了学籍信息。

发现了老师的工号，于是试图用这个工号登录。

非常顺利地进入后台。

发现大量敏感信息被泄露。

很多时候，一点小漏洞就能进入后台，从而获取更多信息，造成更大的危害。通过一个测试账号获得弱口令，进入后台寻找更多信息。

找到了工号，发现工号都特别简单。

XZ0008、XZ0166……经过测试，发现都是弱口令。