写在前面

之前注册了edusrc，搞了本证书后就很少打edu了，可是还闲着很多金币在里面，也没什么东西换，寻思着再搞本证书，便有了这篇文章的出现。此文章中所有漏洞均已提交至edusrc并已经修复。

过程

漫长的信息收集……子域名、目录等等信息，这里也就不说了，直接略过。
这里找到了其中一个子域名存在有登陆系统，我便直接上手了。

这里我输入的账户是admin，密码是123456（这里注意要用TAB键来切换）：

然后用Burp Suite抓包：

一开始先在options选项里勾选Intercept responses，目的是抓响应包：

然后便一直Forward发到最后一个包，看见这里用xml来传输返回的数据，即这个，其中返回的值为False：

在规范性的接口开发中，一般数据传输方面是以json或者xml的格式传送的。而这里用的就是xml来传输数据，那么如果我们把其中传输的数据修改一下呢？所以这里我便将传输的数据从False改成了True，再Forward发包：

可以看到页面弹出此框：

这里已经登录成功：

同理这里先注销，然后用户名随便输，密码也随便输，都是可以登录上去的：

把其中的False改成True，再Forward发包：

成功登录：

接下来按TAB键切换到进入管理平台：

回车便成功进去了，这里进入https://x.x.x.x/Face/0/Main0.aspx?的页面：

可是这里没什么功能点。正当我一筹莫展的时候，我看到了url中的/0，那如果把它修改为其它数字，会不会跳转到其它的页面呢？于是我便修改其为/1，果真跳转到了另外一个后台页面，url为https://x.x.x.x/Face/1/Main0.aspx?页面：

可是还是没有什么功能点，那么就再改成/2，url为https://x.x.x.x/Face/2/Main0.aspx?页面。这时似乎出现了一些功能点了，可是却要我们重新登录：

那么这里再用Burp Suite开启抓包，重新访问页面：

然后便一直Forward发到最后一个包，看见这里用xml来传输返回的数据:

把其中的False改成True，成功。这里显示有消息15条，通知23条，邮件300封，然后点击开始有个欢迎您进入系统，有挺多功能点的：

那么接着看下一个。修改为3，url为https://x.x.x.x/Face/3/Main0.aspx? 页面：

同理burp抓包，继续Forward发包最后一个包，看见这里用xml来传输返回的数据，把其中的False改成True：

成功，同样存在许多功能点：

修改为4，url为https://x.x.x.x/Face/4/Main0.aspx? 页面，同理burp抓包，Forward发包最后一个包，看见这里用xml来传输返回的数据，把其中的False改成True：

成功:

修改为5，url为https://x.x.x.x/Face/5/Main0.aspx?

然后再往以后就无了。

那就到这了。