上海交大捡漏之旅

littlebird

免责声明
请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！
01前言
  想拿上海交大的证书一个月了，实在是没有什么思路，又不想资产收集一波，也算巧了，某天上午，捡到了
02 开挖
因为前期没有做资产信息收集，干脆直接摆烂，直接用最简单的语法搜集
site edu.cn intext 后台管理

好巧不巧，正好首页某个位置就有交大的后台管理系统，好巧不巧我就点进去看了一下页面，没有验证码，感觉有搞头！

登录抓包，拿出专用词典开炮，不出一分钟

看了一下，嗯，感觉不太对劲啊
账号：test2密码：111111测试账号？？？

登录一下试试，柳暗花明又一村，貌似是有权限的，并不是完全的测试账号



交洞走人，混了3rank

大半夜感觉，此处账号有这种弱口令，必然会有超管弱口令
又懒得拿出电脑来了，盲测吧测不出来就开摆
又拿出当时的网址，admin开始盲测
好巧不巧
密码测了三次，登上了，还真是超管


交上过了一会就审了，不得不说交大的洞审核是真的快！8rank


03 总结一下
捡漏之后，不要放弃，说不定还可以继续捡。。。
使用需知
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。
封面图片来源网络，如有侵权联系必删。
安全小白，不喜绕过。