摘要由 AI 智能生成
重要提醒:本文仅用于技术研究和授权测试。未经授权渗透测试是违法行为,请严格遵守法律法规。
新年快乐,今天是自开工第一个周末,简单记录一下前些日子挖的严重漏洞
漏洞说明:某一卡通日志泄露,获取账号密码登录智慧校园、OA、一卡通、vpn、最后进入网站群后台。
日志泄露
日志大概有5000多页,每一页数据量非常巨大,写个脚本自动提取账号密码
登录一卡通系统 抓包发现仅在前端脱敏,数据包中存在完整身份证号
智慧校园
vpn
在日志中发现存在admin账号密码 推测是站群密码
成功登入,可控制91个门户网站
最终拿下满分10分
这个专业啊
还在学习中