No.0
前言
在刷抖音的时候,突然发现一个奇怪的抖音账号,标题是“学生公寓招层长”,怎么会出现在我的推荐里呢?这账号是不是废了?我一直在刷到一些美女的内容,于是好奇心驱使下,决定进入主页看看。
No.1
事情的经过是这样的
进入主页一看,发现这是学工系统,居然还公开了初始密码。主要是因为看到很多美女的视频,我才多看了两眼,才发现这一点。
通过提供的URL进入查看,抖音提示需要进行DB认证。
于是我得到了登录点和密码,但抖音又说要用学号登录。
接着进行信息收集,通过site:xxx.edu.cn搜索,找到了学号。
既然有了学号,那就试试能不能成功登录。
根据抖音的提示进行DB认证登录。
成功登录
同时泄露了手机号。
在后台发现泄露了学籍信息。
发现了老师的工号,于是试图用这个工号登录。
非常顺利地进入后台。
发现大量敏感信息被泄露。
很多时候,一点小漏洞就能进入后台,从而获取更多信息,造成更大的危害。通过一个测试账号获得弱口令,进入后台寻找更多信息。
找到了工号,发现工号都特别简单。
XZ0008、XZ0166……经过测试,发现都是弱口令。
© 版权声明
THE END
暂无评论内容