edusrc某学院联奕系统漏洞通过常规测试手段拿下9rank

开局主包通过弱口令进入系统，首先第一件事就是看教务系统有没有敏感信息泄露

进入个人信息详细页看看 有没有 sfz 泄露

很可惜个人信息详细里的 sfz 是打码的（难道连 1rank 都拿不到了吗 bushi，于是主包便每个功能都尝试一遍看能不能发现越权啥的

最后在学生家庭信息发现了越权，只需要修改 xsid 即可查看他人家庭住址和联系人手机

在主包不断尝试下又发现学生获奖申请功能存在 sfz 泄露

通常情况下添加的信息中，sfz 也是打码的但是我们直接抓接口的返回包可能就不打码了

这里也是正常回显完整的 sfz 了

在主包的火眼金睛下也是发现了测试用的账号和 sfz

直接弱口令登录管理员账号，后面能干的事就多了，点到为止

也是成功拿下 9 分

总的来说难度不大，也是给挖不到洞的兄弟打打气吧，坚持挖下去肯定出洞

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.