本文的方法由于漏洞已修复，已无法实现。

背景

某学校的综合教务系统使用北京清元优软科技有限公司的（如图1），最近乌云爆出存在提升权限的漏洞¹ 。内联页面中的某个管理员菜单没有审核权限，导致其他权限的用户也可以访问。

操作如下：通过登录后把url后缀的loginAction.do换成reportAction.do就有了管理员权限的菜单，还能进入子菜单（如图2，图3）。

另有社工可以从人人网通过姓名查询到出生年月（如果对方设置公开的话），为暴力破解减少了密码循环范围（PS：所以说互联网大数据没有隐私啊）。

其次该校的图书馆研讨室预约系统可以通过姓名检索出学号（如图4）。
于是本猿就有了个大胆的想法。

▼图1

▼图2

▼图3

▼图4

本文目标

在已知姓名的情况下，通过多个漏洞暴力破解该同学账号。

所需储备知识

php的curl的使用。

实现过程

1.从人人网找该校的某人社工其出生日期。
2.通过该校图书馆研讨预约系统可以输入姓名查询学号，学号即账号的不安全角度，获取其账号。
3.通过php的curl函数可以模拟登录，将社工的生日带入到程序暴力破解，并判断是否登录成功。如此反复暴力破解获取账号对应的密码（如图5）。

▼图5

总结

由于是纯数字，只需要写个单线程循环就行了hhhhh。由于防火墙没有限制（不知道为啥），快的5分钟，慢的半小时。

建议：该教务系统可以记录登录错误次数并冻结账号。

后记

一个月后发现提升权限的漏洞被修复了。该校的防火墙也做了限制。

1. 我大乌云2016年7月20日被和谐了。默哀。 ↩