某大学教务系统后台信息泄露漏洞

前言

此漏洞已经提交CNVD漏洞平台。此文章仅供学习交流使用。萌新小白，不喜勿喷。

过程记录

1.首先进入网站首页。熟悉的某教务管理系统，目前还有很多高校采用这套教务系统。

2.某管理系统会记录登录日志，而有的学校没有对此日志文件做保护机制，导致了敏感信息的泄露。这里的敏感信息有用户名、密码和 IP 地址。用御剑扫描存在的日志文件。

3.这里可以看出来该学校对于所有的登录都有保存日志。随便点开一个，可以查看到学号和密码以及 IP 地址。 

注：由于对方服务器是英文版的 windows 搭建的，所有当我直接访问时是乱码。所有我开 了一台英文版的 Windows 服务器打开时，虽然也有乱码，但是账号和密码能看见。

红色方框内就是账号和密码。密码是经过特殊加密的，虽然我破解不开，但是到这里已经心满意足了。我反手就是上报CNVD，哈哈哈

更多文章请关注公众号：星河疯客admin

万水千山总是情，点赞再走行不行的(ง •_•)ง