typora-copy-images-to: ./....\picgo

中国科学院某研究所漏洞

教育漏洞提交账号：shuangzi418

一，首页先看：

在收集信息的时候用鹰图平台语法搜索：

（由于是再次演示，直接筛选出机构点入）每个都点一遍，发现有一个有点隐藏的管理系统：

看见左下某科考服务系统，点入登录：

用常见弱密码（admin 123456），尝试之后提示密码错误，可能账号是正确的，但密码是错误的，所以直接在忘记密码中直接重置：

用burpsuite打开对发送过后的响应包进行检查，发现密码就在返回包中：

直接重置密码为（admin qwer1234）直接登录到后台：

直接得到管理，直接查看管理的个人信息：

拿到管理员的个人信息，当然还可以拿到的其他的人员的个人信息：

资产查出来是属于中科院的某所：

发现算是一个不错的目标，这下挖到了。