精华内容
下载资源
问答
  • 学校系统shcool学校网站系统学校系统shcool学校网站系统学校系统shcool学校网站系统
  • 为您提供智睿院校培训学校系统下载,智睿院校培训学校系统定位教育网行开发的系统,网站首页 学校概况 校园新闻 德育教学 校园风彩 资源下载 求贤纳士 成绩查询 网上报名 联系我们 会员中心 校园信箱等学校网站常用...
  • 此文章仅针对我自己学校系统进行分析,并不代表所有学校系统都是如此。 我们学校比较“抠”,可能是为了节省学校的带宽资源然后禁止学生注册教育邮箱账号。不过像一部电影所说的那样“没有绝对安全的漏洞”...

    此文章仅针对我自己学校的系统进行分析,并不代表所有学校的系统都是如此。

    我们学校比较“抠”,可能是为了节省学校的带宽资源然后禁止学生注册教育邮箱账号。不过像一部电影所说的那样“没有绝对安全的系统”,有时候如果多动一下脑子并不需要**“进谷歌,找注入;没注入,就旁注;没旁注,用Oday… …”**等一些繁琐的工作就可以达到目的。

    声明

    漏洞已提交学校网络中心,并已修复!

    漏洞已提交学校网络中心,并已修复!

    漏洞已提交学校网络中心,并已修复!

    开始

    在我们学校的官网上有一个邮箱服务的入口:
    邮箱服务

    点进去之后如下图所示:

    显示
    不过这里仅仅是留给老师申请和更改密码的入口!当我试图注册的时候就给出了下图中不能注册的提示。
    注册

    分析

    登陆学校的综合教务系统
    综合教务系统

    很明显这是一个使用html框架技术做的页面。其中在左下角,有一些其它系统入口。点击这些系统的链接,除了【数字图书馆】其他的系统都可以不用再输入密码直接登录。这样的话,可能是在登陆综合教务系统时会产生一个“令牌”,然后与其他几个系统之间可以通用。

    再仔细看看【进入系统】这个板块,下面还有这么一大块空白,会不会因为我是以学生身份登录的所以才只显示学生常用的系统而不会显示其他的呢?我右击这一个板块查看链接,如下图:
    框架链接

    图中的链接地址带着一个ticket,我估(cai)计(de)学生身份信息就藏在ticket中!所以我将链接中的ticket去掉截取一段URL然后打开!可能会使系统判断不出来我是学生身份而显示出本来不应该向学生展示的系统入口。其中就很有可能会有常用的【邮箱系统】。

    打开链接之后像预期的结果一样,突然多出来了好几个系统入口:
    系统

    在最后面出现了【邮箱注册】,我也不确定通过这个链接是否能够注册。
    注册

    注册1

    打开之后,输上想要注册的账号竟然显示注册成功!!!
    最后

    最后

    其实看起来每一步都是那么顺利,也存在着很多的运气在里面。我曾经使用kali Linux 中的工具生成密码字典然后暴力破解学校的一台 FTP 服务器一下午都没破解。因为我都不知道服务器的管理员是谁,生成的字典当然也就很差劲了。

    总之失败很多,成功很少!保持好奇心,从每次失败的经历中总会学到一些东西,更重要的是过程。

    历史文章

    【坦白说】如何确定对方身份?

    【百度云盘】不开会员也可高速下载资源

    如何用 Python 实现微信消息防撤回?

    为什么局域网的IP普遍是192.168开头?

    我是如何获取到全校学生的证件照?

    如何制作一个钓鱼网站?

    阅读更多文章请关注微信公众号:Worldhello或者用微信扫描下方二维码!

    worldhello

    展开全文
  • 【中国最小黑客:为了不做作业 黑掉学校系统】2014中国互联网安全大会,12岁的汪正扬成了中国最小黑客。还在清华附中读初一的他:为了不做作业,入侵了学校的在线答题系统;他利用黑客"抓包技术",花1分钱买了2500元...
    【中国最小黑客:为了不做作业 黑掉学校系统】2014中国互联网安全大会,12岁的汪正扬成了中国最小黑客。还在清华附中读初一的他:为了不做作业,入侵了学校的在线答题系统;他利用黑客"抓包技术",花1分钱买了2500元的东西……除了这些糗事,他还修复计算机漏洞100多个。
    
    展开全文

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 23,460
精华内容 9,384
关键字:

学校系统