在最近的测试中发现一个问题
某些高校在在登陆教务平台登陆的时候没有设置验证码
而且重点是 他写的很清楚 密码是身份证后六位

以下是我的一些思路和过程中解决的办法

part1信息搜集

学生的学号是很有规律的 例如我的学号 就是入学年份+专业代码+班级+学号
每个大学学号规则不一样 但是你可以查询一些学号相关的信息 然后找出规律
密码就是单纯的利用字典去爆破，就是去爆破那些没有修改密码的同学,比如默认身份证后六位

part2 危害分析

登陆了教务系统 会导致个人相信信息的泄露 信息泄露又怎么样 现在谁不是在互联网下裸体的 确实 但是比如说一个特定的环境 不法分子掌握了一个孩子详细的信息 诈骗 你可能会觉得骗不了现在的孩子 但是孩子的父母呢？
如果存在越权（平面）可以去修改一些别的已经改了密码同学的账号密码
选课方向可以修改
严重的如果存在垂直越权….

part3 实战记录

百度搜索xx大学学号/奖学金公示/降级公示/国家奖学金公示/党员公示/…./
甚至去大学的官网你可以下载到一些表格 里面有大量的学生信息 学号+姓名+班级
但我们只需要学号！

………诸如此类

好的 在一番搜集后 发现了这个学校的一批学号

那么下一步就来了

其实看看这个账号 已经能得出一些信息

2017级000535肯定不是专业代码

专业代码相关信息 可以百度

那测试一下
2017000536
2017000537
……….

因为他会提示密码错误/账号不存在
如果单纯提示密码错误，那证明 账号是正确的 即存在这个账号
如果单纯提示账号错误，那证明 账号不存在
如果提示账号/密码错误 那证明 什么都证明不了 两者可能都错 可能一者对

据我的判断该校学号分布是

年份+000+入学录取的顺序
假如是2020年9.1第一个录取
学号应为202000001

按照我已经知道的确定的一些学号开始爆破吧

抓包 放入intruder 模块

选中要爆破的部分

选中字典

因为她提示了 默认是后六位

开始跑包

好的 她确实没有验证码 但是他拦截了

为什么拦截
我的想法是短时间内同ip的大量访问导致他的拦截

怎么解决？

我想了想 百度在此刻也有很多人去同时访问一些东西，为什么没有拦截呢？
可能是他的吞吐量支持，也可能是他去限制了同一ip在短时间内的访问次数
如果过多 直接拦截！

重头戏

那么怎么样去在跑包的时候去修改自己的ip？

BurpSuitFake

好的 看着这个fake就知道他是伪造了一些东西的

安装过程

1.安装组件jython-standalone-2.7.0
安装的网址：
http://search.maven.org/remotecontent?filepath=org/python/jython-standalone/2.7.0/jython-standalone-2.7.0.jar**

他是个jar的文件 作用是把Python代码转换成Java代码的编译器。

2.安装fakeip.py
安装地址：https://github.com/TheKingOfDuck/burpFakeIP

Successfull！

3.使用方法
指定一个伪造的ip 鼠标右键选择

输入后发送的请求就是你伪造的这个ip发出的请求

伪造本地的ip

伪造随机的ip

核心功能 也是这次测试最需要的

伪造随机ip发送请求！

点击radomip这个模块

只保留xff请求

转到intruder模块

选择xff和密码两个参数

这里我的xff是payload1

在设置里选择 Extension-generate

选择安装好的fakeip

payload选择身份证后六位的字典

跑起来

好的 就到这里吧

多看文章 多学习前辈经验 加油

还有一个就是ip代理池

可能是功力不够 继续加油吧