统一身份进来之后点这个更多
往下拉 有个公寓管理系统
进来之后点这个谈话谈心记录
进来之后点这个被访人学号或姓名,随便输入字什么都行,能发现抓到一个包
我这里是输入了“王张”
用Repeater看
发现SFZ信息
看这个传参点,不难发现是汉字名字用了url编码
不出意外应该是全校的学生身份证都能查,接下来验证一下
倪超越 → 编码后 → %E5%80%AA%E8%B6%85%E8%B6%8A
去那个包里发送这个编码
提交edu 高危5分
免责声明
由于传播、利用本公众号NGC660安全实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号GC600安全实验室及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数原文始发于微信公众号(NGC660安全实验室):XX学院简单逻辑漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论