某高校存在弱密码以及信息泄露漏洞——web安全小菜鸡的挖洞初体验

学生信息管理是学生大学期间的重要信息管理端，存储着学生在校个人信息，学生论文上传审查也依靠该系统，对学生毕业有着举足轻重的影响。
成都理工大学研究生信息管理系统存在弱密码登陆以及信息泄露问题，无验证码，用弱密码就可以登陆学生信息管理系统。没有身份验证，可以任意修改密码以及个人信息，上传文件。如果被不法分子利用，可以随意上传文件，修改密码以及个人资料，严重影响学生正常毕业。

以上都是我编的套话。

一、信息搜索

1、对该高校研究生院进行c端扫描，搜索到研究生信息管理系统登陆点

2、一般大学的学生管理系统登陆账号无非为一卡通号或者身份证号，我们在bing上搜索该高校的相关xls表单，这里我们搜索到了2020年的研究生的奖学金名单。这里共计两千五百多条学生身份证号以及一卡通号信息。

二、渗透测试

1、我发现这个研究生信息管理系统居然没有验证码这种验证机制！！！那么好，我们先把收集到的学生一卡通号给保存到txt文件中当字典用，然后我们直接Burp跑包爆破吧！

这里我用的还是弱密码字典跑包，截图的时候由于网速垃圾，还没有跑完，但依然跑出了极其多的弱密码，如123456,123456789等。

弱口令数量之多，这里还只是2500余人一卡通账号跑包的一部分，界面装不下了。

2、我们选几个账号登录，可以直接查看到学生个人信息。并且可以随意对学生个人信息进行修改。

为了不影响该学生毕业，我没有随意篡改他的密码，还是把他原本的弱密码修改回去了，只是截了个图。

这里甚至还可以在毕业与论文栏目上传文件，在互动栏可以对导师以及学生发送消息。如果被恶意利用，可能会导致上传木马或者其他恶意文件，传播钓鱼信息等。严重甚至影响学生毕业，后果不堪设想。

 

 

我太怂了，不敢真的上传些什么，因为我只是意外找到了这个弱密码漏洞，怕被查水表也怕影响人家毕业。