我挖的是edu.cn的漏洞,使用了oneforall進行子網域名稱蒐集,在看到乙個標題為「某某某管理資訊系統」的站點,就上手了。
賬號 admin 密碼123456(只要是數字就會自動進入修改密碼頁面)
提示我們需要改密碼。
我們修改成 abc123456
抓包,抓響應包。
這裡面有許多學號與身份證資訊,我保留下來兩個作為資訊蒐集,為後續滲透打下基礎(這兩個資訊現已刪除)
第乙個任意密碼重置是管理系統,這個是後面找到的使用者系統
登入需要學號,學號通過google hacking就能搜到
site:目標大學.edu.cn 學號 就能獲取到一些學號。
學號的規律是後面三位會變化,前面基本都是一樣的。
登入頁面沒有驗證碼,我設定密碼為123456進行爆破。
登入之後
看到了郵箱,儲存下來,作為乙個資訊蒐集。
然後我退出去,想試試這個系統的忘記密碼有沒有機會繞過。
用的是我已經能登入的學號進行測試
誒,剛才就找到了郵箱,第一步通過
只需要通過第一步,郵箱是正確的,就可以繞過驗證碼。
這個功能點就是一登入進來的那個頁面
可以遍歷
首先我們先檢視一下
id=*********33的資訊
然後修改一下自己的資訊
抓包,重放。
我修改成了id=*********33再重放的。
然後我們使用越權查詢功能去檢視一下資訊有沒有被我們修改?
修改成功~
兩個介面,同乙個效果。
管理資訊系統測試方法總結(五)
一 1.刪除資訊 1 可能造成嚴重後果的刪除操作,系統是否支援執行可逆,或給出警告,刪除前是否要求確認 2 刪除操作是否正確執行,若刪除的內容在檔案或資料庫中,應作實際校驗 3 刪除記錄後,再新增一條相同的資訊,檢查能否成功新增 例如 刪除使用者後再建立相同登入名的使用者 4 對可批量刪除記錄的系統...
管理資訊系統的發展模式
隨著計算機技術的不斷發展,管理的資訊化也不斷呈現新的模式,在新的技術層出不窮的歷史時期下,如何選擇合適的管理資訊系統才更能有助於企業的發展是任何乙個企業家需要面對的問題,從歷史的發展來看,管理資訊系統的發展主要經過了四個階段的發展 第一階段就是最早的且在資訊化的普及中起到無足輕重的作用的c s模式,...
教育管理資訊系統的研究
四川廣播電視大學 周利平 孫繼榮 摘要 教育的根本出路在於改革,教育改革的重要途徑和內容是教育資訊化。教育管理資訊系統是教育資訊化的乙個重要組成部分,也是教育資訊化的基礎。教育管理系統的開發應在有本校特色的基礎上網路化 規範化。教育資訊化,教育管理資訊化,管理資訊系統,教育管理資訊系統 進入21世紀...