正方教务隐藏入口_正方教务处抓包分析

最新推荐文章于 2024-07-05 14:48:05 发布
最新推荐文章于 2024-07-05 14:48:05 发布
阅读量753 收藏 3
点赞数
文章标签: 正方教务隐藏入口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42513601/article/details/112044877
版权
本文详细介绍了如何对正方教务系统进行抓包分析,揭示了登录过程中VIEWSTATE、隐藏字符串等关键参数的作用,并探讨了无Cookie会话保持的原理。通过模拟登录过程,阐述了选课请求的细节,鼓励读者自行编写爬虫脚本。
摘要由CSDN通过智能技术生成

大概全中国的教务处网站都是一样的,选课时期总是出去薛定谔的猫的状态,因此使用爬虫来选课对于计算机的学生来说就很正常了,在进行爬虫爬取之前,我们首先需要对它进行抓包分析。

试探

首先登录教务处网址,我们学校教务处的网址是10.5.2.80,在浏览器中输入网址后你会发现进行了重定向,重定向后的网址是10.5.2.80/(uzcntciw0q5jisjv5ydagx45)/default2.aspx.你会发现中间用括号括起来了一个长度为24的字符串,我们再在浏览器中输入一次10.5.2.80网址,再次进行重定向,发现中间的字符串再次进行了改变。这就很有意思,中间的字符串为甚每次登录教务处网址都会改变呢,

当然我们首先进行抓包来看看,浏览器向服务器发送了什么

我们发现请求的地址正是我们每次重定向到的网址

再查看下我们发送的表单

TextBox1、TextBox2中分别存储着我们的用户名和密码那么我们探索一下表单中另外三个参数的作用(PS:这命名随意到难以置信).RadioButtonList1、Button1很明显是url编码的值,我们将RadioButtonList1、Button1中的值进行url解码(注意此处url编码使用了gb2312)。

结果分别为学生和登录。可是另一个VIEWSTATE呢

VIEWSTATE

VIEWSTATE其实也算一个很古老的东西了,正是因为老旧的教务处也同样的古老,我们才能够发现他。正方是使用ASP开发的,而VIEWSTATE也算ASP一个特点(基本存在于已经废弃webform),它起到的作用主要将整个页面的控件的状态用base64

最低0.47元/天 解锁文章
伊瓦的战士莱曼
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
新版正方教务系统Java爬取_正方教务系统成绩爬取(仅个人)+tk可视化
weixin_30974667的博客
02-28 653
[JavaScript] 纯文本查看 复制代码var CryptoJS = CryptoJS || function (u, p) {var d = {},l = d.lib = {},s = function () {},t = l.Base = {extend: function (a) {s.prototype = this;var c = new s;a && c.mixI...
正方新版教务系统爬虫.zip
03-08
如果您下载了本程序,但是该程序存在问题无法运行,那么您可以选择退款或者寻求我们的帮助(如果找我们帮助的话,是需要追加额外费用的)。另外,您不会使用资源的话(这种情况不支持退款),也可以找我们帮助(需要追加额外费用) 爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的工作流程包括以下几个关键步骤: URL收集: 爬虫从一个或多个初始URL开始,递归或迭代地发现新的URL,构建一个URL队列。这些URL可以通过链接分析、站点地图、搜索引擎等方式获取。 请求网页: 爬虫使用HTTP或其他协议向目标URL发起请求,获取网页的HTML内容。这通常通过HTTP请求库实现,如Python中的Requests库。 解析内容: 爬虫对获取的HTML进行解析,提取有用的信息。常用的解析工具有正则表达式、XPath、Beautiful Soup等。这些工具帮助爬虫定位和提取目标数据,如文本、图片、链接等。 数据存储: 爬虫将提取的数据存储到数据库、文件或其他存储介质中,以备后续分析或展示。常用的存储形式包括关系型数据库、NoSQL数据库、JSON文件等。 遵守规则: 为避免对网站造成过大负担或触发反爬虫机制,爬虫需要遵守网站的robots.txt协议,限制访问频率和深度,并模拟人类访问行为,如设置User-Agent。 反爬虫应对: 由于爬虫的存在,一些网站采取了反爬虫措施,如验证码、IP封锁等。爬虫工程师需要设计相应的策略来应对这些挑战。 爬虫在各个领域都有广泛的应用,包括搜索引擎索引、数据挖掘、价格监测、新闻聚合等。然而,使用爬虫需要遵守法律和伦理规范,尊重网站的使用政策,并确保对被访问网站的服务器负责。
正方教务隐藏入口_正方教务系统小功能操作手册
weixin_36165152的博客
12-30 713
部分操作手册:2.1学生注册2.1.1专业大类设置表1、进入操作界面,点击大类设置按钮,进行大类设定。如:可设置成艺术类、理科类、文科类等;2、设置完大类后,把各专业归类到大类中去;2.1.2注册开关设置该功能操作简便,用户根据实际情况安排交费与注册的先后顺序。2.1.3新生注册1、招生代码维护在招生代码维护中,完成毕业中学代码、民族代码、性别代码、政治面貌代码的录入2、招生信息表导入找到学生注册...
记某大学智慧云平台存在弱口令爆破水平越权信息泄露Wx_SessionKey篡改 任意用户登录漏洞
最新发布
wananxuexihu的博客
07-05 1162
本篇文章是记录最近给一所大学做渗透测试时该学校存在的漏洞(目前已经修复)。我是先找该学校的微信小程序的资产,因为各位佬们也知道,微信小程序相对于web应用服务端来讲维护较少,所有漏洞存在多,好挖点。嘿嘿嘿,下面就来讲讲我是怎么从这个小程序端渗透到web应用端。这次的渗透测试来讲还是很有收获的,特别是第三个Wx_SessionKey篡改 任意用户登录,大家可以去小程序尝试下,大家首先得找到SessionKey、iv以及加密字段三个部分,然后才可以利用这个工具进行篡改,然后任意用户登录。
正方教务系统爬虫实现
Tong_Hao的博客
08-22 2696
主要库 requests,json,re 分析网页 第一眼就看到网页后缀是.aspx,也就是用的ASP.NET技术,不算老熟人有兴趣可以了解下https://baike.baidu.com/item/aspx/203251?fr=aladdin 登录网页称为网页1,随便输入一下账密fiddle抓一下,可以看到网页url,注意是POST http://jw.dlust.edu.cn/default2.aspx fiddle 抓登录界面 F12 里Radio..
关于新正方教务系统(湖北工程学院)的one day越权漏洞的说明
热门推荐
小王的博客
12-19 1万+
此漏洞基于湖北工程学院教务管理系统进行演示,漏洞覆盖新正方教务系统8.0以下版本,为本人一年前提交的漏洞,所以并非0day漏洞此漏洞影响范围巨大,几乎涉及国内一半高校的教务系统,包含武汉大学、浙江工商大学等等而且据本人推测,此漏洞难以完全修复,因为我怀疑在该程序的设计阶段,权限验证模块与真实功能模块耦合度过高,所以到目前如此多的功能,已经难以完全修复所有页面了本人在发布漏洞前已和本校教务系统及公司提前沟通,并已修复了较为重要的功能模块。
【经验】对教务处网站的抓包分析并GET教务处照片
lljllll的专栏
07-15 1930
某校教务处网站一直存在这样一个漏洞: 在“在校照片”上通过firefox或是chrome的审查元素可以看到 在校照片的获取其实是通过一个asp动态请求,更重要的是,这xh的值正是学生的学号。 于是我们萌生出一个想法,可不可以通过改掉学号的值,获取到别人的照片。经过试验,这方法是可行的,我们真的可以得到另一个人的照片。 然而这种方式一次只能查一个人的照片,我们有没有可能利用这个a
NodeJs模拟登陆正方教务
10-19
网上已经有很多关于模拟登陆正方教务的作品了,基于 PHP,Python,Java,.Net 加上NodeJs,这几门语言都可以实现模拟登陆,模拟登陆的技术点不是特别难,这里记录一下利用Node碰到的一些坑,以及一些解决思路。
正方教务管理成绩全自动批量录入对接平台v2.1
06-05
禾木正方教务管理系统成绩自动批量录入对接平台旨在解决在全国范围内使用范围甚广的"正方教务管理系统"成绩批量录入的问题,可以大大降低老师们的劳动强度,极大地提高工作效率。 现在,大部分的学科成绩都是首先存放...
Master-Password-Recovery-Tool:恢复笔记本电脑主密码的高级应用程序 - http
06-04
软件说明 正在进行的研究项目 其他资源 与任何合理开发的系统一样,笔记本电脑/笔记本电脑上的 HDD 和 BIOS 系统需要极大的保护。 使用密码生成器以保护其安全的系统正在使用不同的算法。 算法可能会根据其难度级别而有所不同。 当前的笔记本电脑需要良好的密码生成器,以确保其系统尽可能安全。 大多数笔记本电脑都使用主密码(在每台笔记本电脑中都是唯一的)来保护他们的系统。 为了渗透 BIOS 系统,人们应该找到一种方法来禁用 BIOS 密码。 有时,笔记本电脑用户知道笔记本电脑的主密码非常重要。 然而,并非每个用户都可以使用找出密码的算法。 当笔记本电脑被密码锁定时,该密码的校验和存储在闪存中——这是设备主板上的一个芯片,其中还包含 BIOS 代码和其他设置,例如内存计时。 对于大多数品牌,第三次输入无效密码后会显示此校验和。 戏剧性的“系统已禁用”消息只是吓唬人的策略:当您切断笔记本电
正方教务密码解密
11-08
正方教务密码解密。 输入密文 和秘钥即可
数据抓包(网络爬虫)-正方教务管理系统登录-附件资源
03-05
数据抓包(网络爬虫)-正方教务管理系统登录-附件资源
正方教务系统新版sql注入漏洞利用工具
01-19
相信研究过正方教务系统的朋友看到过网上传播的比较多的一篇文章提的/service.asmx中的BMCheckPassword存在注入,然而现在大多数正方教务已经将BMCheckPassword移除了,导致漏洞无法利用。本人研究了/service.asmx中的其它接口,发现zfcwjk1存在同样的注入漏洞,特将注入方法写成工具供大家学习参考。 zfcwjk1似乎是一个财务类的确认接口,利用起来稍微麻烦点,需要一个目标学校的任意学号。 程序执行后,会需要用户输入三个参数。分别是: 1.目标网址 2.目标学校的任意学号 3.年份(估计是用来确定这个学号所在年份的情况,随便填个2012或者2013,不行再换) 若提示“cannot access target url”则可能是目标网址填错了或者教务系统已经将/service.asmx移除了,如果是/service.asmx被移除的话漏洞就没法再利用了。 另外,若是校内网使用则建议挂代理。。。
入侵大学教务管理系统
06-04
如何入侵学校教务管理系统 强智 ASP
人工智能-项目实践-网络爬虫-抓取学校正方教务处系统的课程表数据,成绩数据以及个人信息,修改个人密码等功能,使用java实现爬虫
12-27
人工智能-项目实践-网络爬虫-抓取学校正方教务处系统的课程表数据,成绩数据以及个人信息,修改个人密码等功能,使用java实现爬虫 抓取学校正方教务处系统的课程表数据,成绩数据以及个人信息,修改个人密码等功能...
正方教务系统php登陆,正方教务管理系统最新版无条件注入&GetShell | wooyun-2015-0122523| WooYun.org...
weixin_35983438的博客
03-21 1723
正方教务系统提供了一系列的WebService接口,然而这些接口并未经过严格的认证,从而导致任何浏览者都可以使用这些接口查询信息。由于其对用户提交的参数未进行过滤,从而导致注入的发生!搜索发现正方教务系统的asmx文件大致有这么些:【1】文件管理接口首先查看file.asmx:checkFile(检查文件是否存在)只要求提供一个文件路径便可以工作。尝试使用soap协议去请求:UpFile2Dir(...
对某教育系统一次检测笔记
weixin_33859844的博客
12-29 135
记录正方教育系统一次检测过程 参考文章地址:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0122523.html 本次检测的目标中存在其中提到的一处注入BMCheckPassword,参考文章中讲的不够清楚,这里具体分析 sKey是内置的常量,这个文章中已经提到,注入点出在strYHM中,为字符型oracle布尔注入,当结果为真时返回5,结果为...
正方教务系统数据库安全漏洞分析
"正方教务管理系统存在数据库任意操作漏洞,该漏洞允许攻击者执行任意数据库操作,影响广泛,包括成绩修改和学生信息导出。此漏洞被标记为高风险,已被第三方合作机构(CNCERT国家互联网应急中心)处理。" 正方教务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值