记一次离谱的edu挖掘

闲来无事，网络上寻找目标。想起来前几天挖了一个某学校的洞，上次信息收集没做完，打完就收工了。所以我又回到该学校(很亲切)，我想到主站可能没有什么漏洞了，准备去找找子站的时候，突然发现一个链接某某后台，我的发，我一眼就相中了它，有一种漏洞的美。

对于这种登录框，自然是常见的弱口令，万能密码，注一下，在全部都无果的情况下，来了个F12大法。刚打开就出大货了，这就写在脸上。

于是乎我带着一丝小兴奋输入了它，哎呦果然改密码了。

但是不着急我们继续往下看，一往下翻不得了，这个逻辑太炸裂，账号密码直接写这个。前几天看一个师傅的文章我还说，怎么可能遇到这种，好了这下打脸了。不说了，赶紧整一下子吧。

开发是懂的，直接登陆成功了。

第一次挖到这种很离谱的漏洞，所以记录下来了。虽然我觉得这种逻辑问题不会太多，但是每次查看下源代码可能会有意想不到的收获，挖洞靠的主要还是细心和耐心吧。

原文始发于微信公众号（shadowsec）：记一次离谱的edu挖掘