03 July 2014
正方教务系统免验证码登录
昨天接到教务处老师电话被告知211漏洞已经修复~ 顺便记一下上次挖洞时留下的一个好地方,正方教务系统免验证吗登录接口~ http:///default_ysdx.aspx http://*/default_vsso.htm
21 June 2014
我要艹成绩
我相信每个人心里都有一个改成绩的梦想。曾几何时我也一样看着那门缺考想方设法把他删掉,但是也就是想法而已。 但是,最近深入的研究那个垃圾的正方教务管理系统后,无比蛋疼的发现该成绩实际上有点逆向水平就行,甚至不需要用到很多加密解密知识。 首先是正方教务系统web版的fckeditor,可怕到当初一大堆教务管理系统成为webshell,不过那个时候我还没上大学= =不过我们学校只有个列目录漏洞,而且比较良好的是我们学校的权限配置相当合理,连那个bin文件也是不能访问的。不过那个excel文件夹里还是有很多敏感数据的。 接下来是重点,有关该成绩。 出问题的是正方教务管理系统的客户端。该客户端对应的服务端的端口号是211,所以要扫的话直接 Google 找正方教务系统然后收集下来一个个测试下211端口就行了。 正方教务管理系统的客户端的开发者,不对,应该说是正方整个系统的开发者都是坑爹水平,所有函数啊,