统一身份进来之后点这个更多
往下拉 有个公寓管理系统
进来之后点这个谈话谈心记录
进来之后点这个被访人学号或姓名,随便输入字什么都行,能发现抓到一个包
我这里是输入了“王张”
用Repeater看
发现SFZ信息
看这个传参点,不难发现是汉字名字用了url编码
不出意外应该是全校的学生身份证都能查,接下来验证一下
倪超越 → 编码后 → %E5%80%AA%E8%B6%85%E8%B6%8A
去那个包里发送这个编码
提交edu 高危5分
免责声明
由于传播、利用本公众号NGC660安全实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号GC600安全实验室及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数原文始发于微信公众号(NGC660安全实验室):XX学院简单逻辑漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论