一次职业院校漏洞挖掘

这个是之前挖掘到的漏洞，目前网站进行重构做了全新的改版，但是这个漏洞特别经典，拿出来进行分享。看到src上面的很多敏感信息泄露，所以自己也想找一个敏感信息泄露，官网如图：

发现在下面有一个数字校园入口，就想着看看登陆处有没有sql注入、js信息泄露等

发现有两个功能，忘记密码&&账号查询 先看账号查询

通过身份证号可以查询出职工号来，这里如果用爆破，应该可以爆破出对应的学号以及身份证号看一下加载的js文件

这里很奇怪，第一次试着访问这个接口

但并不知道id所代表的参数信息 于是回到之前的界面，点击忘记密码

在网上百度了一个学号作为测试

看一下此时加载的js文件

访问此时的接口

试着加上刚刚查到的学号

Interesting~ 可以看看之前的那个接口+学号

密码修改为：654321a

尝试登陆了一下 账号：318051335 密码：654321a

「圈子的最近主题和圈子内部工具一些展示」

纷传100%官方认证授权，可在发现-圈子页面查看

圈子部分内容展示

poc漏洞库 8000+src陆续更新中 -紧跟时代发展争做先进网安人

一起愉快刷分-榜上有名

免杀-护网必备

新手学习、老手巩固-温故而知新

学习报告-三人行必有我师

各类会员-尊贵的SVIP

「你即将失去如下所有学习变强机会」

学习效率低，学不到实战内容

一顿自助钱，我承诺一定让用户满意，也希望用户能给予我一份信任

【详情下方图片了解】，【扫下方二维码加入】：只做高质量优质精品内容」

圈子目前价格为¥99元(交个朋友啦！)，现在星球有近160+位师傅相信并选择加入我们，圈子每天都会更新内容，老用户可永久享受初始加入价格，圈子内容持续更新中

一张图总结

免费红队知识库：

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！