[实战]记一次有手就行的某习通网课平台任意登入

admin 2021年7月25日03:15:36评论101 views字数 597阅读1分59秒阅读模式

事发在上一年疫情的时候,全国学生党被网课折磨时期

漏洞已经上报并且已经修复

漏洞已经上报并且已经修复

漏洞已经上报并且已经修复

上网课(摸鱼)的时候习惯性的把目光放到了网课平台上面,打开大学生都熟悉的页面


[实战]记一次有手就行的某习通网课平台任意登入

一股网课气息迎面而来  登入后,按照规矩打开我们神奇的burp开始抓包,一个一个包分析

[实战]记一次有手就行的某习通网课平台任意登入

照规矩测短信爆破,短信轰炸,验证码绕过等等

在漫长且无进展的测试过程中,逐渐失去耐心,随便到处点点点

测越权的时候惊奇的有发现

[实战]记一次有手就行的某习通网课平台任意登入

其中有两个值具有利用作用,分别是fid对应学校的id号码,uid就是用户id我们自己的id,提键盘修改一下fid,在一开始不知道fid关联的是那个信息的时候修改一次,就掉登入一次,然后试试不修改fid的情况下单独修改uid

[实战]记一次有手就行的某习通网课平台任意登入

两眼一亮,哦豁,我变成小姐姐了

[实战]记一次有手就行的某习通网课平台任意登入

在不修改fid的情况下,uid修改后都是自己学校的校友,大部分小姐姐都会用自己照片当头像,当然也可以查看他们个人信息,历史提交的作业,有很多老师喜欢要童鞋们交视频作业,看见好看的直接去加微信

[实战]记一次有手就行的某习通网课平台任意登入

是的你没有看错,邮箱手机号名字学号应有尽有,并且可以直接换绑邮箱手机号

[实战]记一次有手就行的某习通网课平台任意登入

关注公众号,回复"资料"免费领取网络安全教程视频以及大量相关书籍PDF

[实战]记一次有手就行的某习通网课平台任意登入


 往 期 推 荐


[实战]记一次有手就行的某习通网课平台任意登入
Vulnhub篇 y0usef:1
[实战]记一次有手就行的某习通网课平台任意登入
暗黑引擎—Shodan常用搜索语法
[实战]记一次有手就行的某习通网课平台任意登入
一款内网自动化横向工具:InScan开源扫描器


本文始发于微信公众号(bgbing安全):[实战]记一次有手就行的某习通网课平台任意登入

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月25日03:15:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [实战]记一次有手就行的某习通网课平台任意登入https://cn-sec.com/archives/396980.html

发表评论

匿名网友 填写信息