上班闲着蛋疼,无意中发现该学校树洞里面分享的一些看着挺有趣的。
但评论和点赞都需要登录,我们到注册页面看看。发现是一串+上@xxx.xxx一看就是邮箱注册。
我们随便填一些东西看看能不能直接注册,毕竟没有验证码注册嘿嘿~
what's up! 有校验!那咋办,我没有学号。。。
不过灵光一闪,每个学校都会有一种东西,那就是校园墙~~ 里面肯定有小可爱掉校园卡,说不定上面有。(还是推荐以后小可爱们还是把关键信息打码)
果不其然,我找到了。处于信息的重要性,我就不给予放了。学号的组成是U+年+xxxxx(个人猜测xxxxx 应该是某专业某班某个号)
当然是下一步啦~~ 顺利进入设置密码,随便填!
oh~~~~~~注册成功,登录成功
一筹莫展之际,发现他们还有APP,下一个。找了半天没找到Android,但是找到了IOS。登录看看吧,或许IOS没有这种bug呢?
登录成功,看来注册确实是没问题的。
试试看用别的邮箱能不能注册,并验证吧~ 发现页面有校验,并且写死了。懒得去看js了,我真的没耐心呜呜呜。走走捷径看看
F12打开,获取一下注册时候的动作,发现一个mobileRegister,并且把注册信息提交少去了。不错不错这样我就直接发请求就好了。
注册成功啦~ 接下来就要登录了,这登陆也有校验咋办啊。
打开FD通过捕获的方式来进行登录了,走捷径嘛不用看混淆后的js ·-·
按下F11
填刚刚我们随便弄的学号 然后改一下登录的账号,并点击运行到完成
OK 登录成功,激动人心时刻。
迫不及待的登录邮箱查看,发现并没有收到任何的验证码。那大概率就是 内网邮箱了。
没办法了这个。
ps:网站管理员还是在注册上面多加一些校验吧。
所有信息都已经打码,网站也不会放到帖子里。哎呀只是一个记录啦。我学艺不精。只能到这一步了。
该内容转载自网络,更多内容请点击“阅读原文”
原文始发于微信公众号(web安全工具库):记录一次某某科技大学树洞分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论