（以下是曾经准备发墨雪公众号，但没有发的文章）

因为博客的服务器的关系，所以把文章投稿在这边

日常逛edu，碰到一个这样的系统

好，弱口令，进去了，里面没有什么重要的信息，图片也传不上去，本次渗透到此结束

当然不可能就这些，这个系统是可以从统一认证登陆过来的，通过抓取 统一认证登陆后，跳转登陆到这个系统 的过程的包，我发现其中有个包没有带原本的cookie，get请求，参数接工号，返回是302跳转，以及2个setcookie（如图），其中asp的会话id决定了你登陆的是哪个号

/zcpt/login_zcgl_from_others/index_cas.asp?userid=工号&username=疑似名字(这个参数可以去掉)

接着跳转到的网页返回301再次进行跳转，这里的跳转疑似系统配置错误，少了个“/”导致的

/default就是系统主页

由上可知，既然登陆系统只是看的上面那个接口所传回来的cookie，那能否在只知道工号的情况下直接绕过登陆进系统呢

直接尝试一下admin账户(未知的密码)

拿下了

再来抓下面分属的3个子系统，发现也是同理，这里拿其中一个举例

/jjweb/userlogin_pt?uid=admin&ptindanwei=1=1

跳转过后直接也是以管理员身份进入

最后对着管理员/普通用户找了找，几乎全是越权，像什么获取数据库备份

/jjweb/backup/backup/backup.asp

自信满满，赶紧去百度几个同类型系统试试，

噔噔咚，心脏骤停，难道不是通用？想了想刚才在之前那个学校系统里看到的明文密码，在这边试试，好家伙，无敌的弱密码，进去了

随便点一个子系统(这里是仪器设备管理系统)抓包看看

原来是同样的思路，只是请求地址改了而已

/UserLogin_pt/?ptindanwei=1=1&IsDigitalCampus=1&uid=admin&token=DB88F3C701FE3EA41A52EFB7AF821D8C&datestr=admin

退出登陆，开个无痕模式，去其他系统试试

进去了，此时，又发现有个回系统首页的选项，抓包看看

同原理，/zcpt/login_zcgl_from_others/?userid=admin

既然知道了这些，百度走一波