WooYun.org

在教务处右侧侧栏找到信息管理系统点击进入。

看到登陆界面，随便填写，抓包保存在log里。

这是包内容。

sqlmap注入检查，只检查了一个参数，因为我之前试过了。

爆出current-db，user权限不高。

继续爆表爆列爆内容。名称都是写的拼音，除了user一看就知道是用户。

回到前台登陆，可以看到菜单。那么问题来了，为什么我扫描到菜单上的时候下拉菜单出不来？好像是浏览器兼容的问题，可是js应该不存在兼容问题吧，这个问题希望了解的朋友留言告诉我一下。反正我是mac所以没有IE，只能看源码，找到地址在复制在浏览器地址栏里。
功能很多，不同账号功能也不尽相同，就捡重要的说了。（超级管理员的账号停用了，在另一个表里，爆出来登陆不了。）

学生信息查询吧。查询的功能还挺强大，我没试，但估计这里也是有很多注入点的就不说了。

查完了是这样的，给了一个iframe我这浏览器和兼容不好显示怪怪的，但是没关系，点击详细信息仔细看。

这就是详细信息的界面，可以看到很多重要的信息都暴露出来了。非常的不好。

更加意料之内的是，虽然这些界面都检查了权限，但是照片的链接却没有检察权限，而且照片的名字是学号。前面的文件夹名字盖掉了，反正也是一下就能找到规律的。这样就提供了一个链接可以根据学生id找到照片的地址，真是非常不好。
脑洞：
剩下的功能包括可以改信息（配合有xss漏洞的教务系统），如果同步这个信息到教务系统（数据库可能是分开的，但是按照信息实时更新的程度，估计是要同步的）。还可以注册新生只不过注册新生是有日期限制的现在试不了这个功能，如果注册的时候上传webshell（更改信息时候不能改照片，注册时候应该有），结合上面看到的IIS解析漏洞，应该可以拿到webshell。还有可以利用发信息功能，进行诈骗尤其是向家长什么的。。。脑洞是不是太大了。
其实我也是由于了很久要不要来报这个洞，因为我觉得，学校是不会回应修改的，而我把信息发出来，万一被坏人利用到了，我觉得我也是间接的帮凶了。所以如果管理员看到的话，如果学校没有回应，就把涉及到的图片都删掉吧，链接啊，学校名称啊，包括我log起的名字都是学校的简写。
我只是为了要一个邀请码，来向大家学习的。谢谢！