记得之前有篇文章跟大家分享过，对于系统登陆的渗透思路，基本上就是1、 弱口令（一般情况下需要运气或者收集到不错的账号密码字典）2、用户注册、找回密码功能处寻求逻辑洞3、sql 注入等（在稍微比较新的系统里很难出）4、看框架利用 nday5、看 js 有没有未授权接口等 （任何页面的 js 接口都值得关注下，即使前端展示的页面很简单想必大家弱口令、sql 注入这些漏洞文章看的很多了，靠 id 遍历水

一、由小程序开头这次的开头由一个大学的小程序说起<img src="https://nc0.cdn.zkaq.cn/md/24912/20250902/b3ee6ceb-b372-4b28-b068-bca2d01900d9.png" width="338.7878592064679" id="u646b2197" class=&q

开局来到某大学的一个管理系统<img src="https://nc0.cdn.zkaq.cn/md/24912/20250805/b1078043-553c-4a2d-bd77-85d64e2dfbe3.png" width="494.5454259614987" id="u1e714a8b" class="ne-ima