题目信息※
是一个教务系统,需要用学号和密码进行登录,但是我们没有学号和密码,
页面上有一个录取名单,下载下来里面有一些个人信息
还有学籍查询系统
那么应该是可以通过姓名和身份证号进行查询,查询到自己的信息的
输入一个学生的姓名,密码随便输一个提交,抓包
通过设置payload到密码,设置payload是日期范围 从 1990-2020的每天和输出格式,并添加身份证前缀和后四位,拼接,开始爆破
对长度排序,发现了一个异常长度的请求
被编码了看不到信息,使用这个身份证进行登录看看
得到了账号密码信息
