内容简介：

漏洞已修复，感觉某大佬的知识分享
任意用户密码重置->可获取全校师生个人min感信息
开局就是信息收集
对于挖掘edu的信息收集
1.可尝试谷歌搜索语法，获取学号信息

1. 旁站的渗透获取

2. 学校的贴吧获取(大部分都是本校学生)

当然我就是闲着蛋疼,进了目标学校的贴吧,跟他们聊天,然后你懂的(不推荐这样去做)
类似于钓鱼吧
在获取到学号的信息,自然就是水到渠成
由于权限太小,功能点太少,fuzz不到接口,j也没有铭感接口,越权就更不存在了
放弃了,去看看找回密码吧
先爆破一波账号是否存在(能不用别人账号就不用)
123456账号存在
找回密码这里随便输入3个必选项然后提交...

查看原文

? SRC挖掘之Access验证校验的漏洞挖掘