一次搞校园网的经历（内网测试）

记一次校园网后台弱口令二次利用

校园网网站页面

之前测试的时候给后面加了个 :801 端口然后就跳到了后台页面

burp爆破（这里涉及到了验证码插件的使用）
插件的具体使用可以参考这个网站：https://blog.csdn.net/u014029795/article/details/105534611

如果爆破有正确密码它就自己登录上了

进去后感觉有一点点的小权限，这我怎么能满足呢？
查看了下账户密码知道了
还发现有个这，

然后信息收集：找到了另外一个站点

搜一下试试：

校园网页面还有个这

这里发现系统开发方的信息

以上是内网测试得到了一组弱口令信息，

然后信息收集，找到相关公司后台弱口令登录的一次经历

信息收集
google hacking啥的试试：
找到了点东西，抱着侥幸心理：
我就用我们校园网的账号密码登录了：

登录成功了

这也算撞库成功吧。
害怕牢底坐穿，于是我就没往下做了，当然我也会及时联系管理人员搞定的。

当然，这里也可以burp爆破，只是多了个MD5加密，也不难吧。

主要是一个校园网管理后台弱口令造成的诸多事宜。

这个主要想分享这个心路历程，有什么可以改进的赐教啊
文章不多，有什么建议，多多指教

burp验证码识别插件使用参考：https://blog.csdn.net/u014029795/article/details/105534611
burp下载地址：https://portswigger.net/burp/communitydownload