重要提醒：本文仅用于技术研究和授权测试。未经授权渗透测试是违法行为，请严格遵守法律法规。

新年快乐，今天是自开工第一个周末，简单记录一下前些日子挖的严重漏洞

漏洞说明:某一卡通日志泄露，获取账号密码登录智慧校园、OA、一卡通、vpn、最后进入网站群后台。

日志泄露

日志大概有5000多页，每一页数据量非常巨大，写个脚本自动提取账号密码

登录一卡通系统 抓包发现仅在前端脱敏，数据包中存在完整身份证号

智慧校园

vpn

在日志中发现存在admin账号密码 推测是站群密码

成功登入，可控制91个门户网站

最终拿下满分10分