2025年3月2日，应该是我大学四年最难忘的一天了。 
早上到实验室之后习惯性地打开手机看看当天的公众号推送，不经意间瞟到学校的教务公众号，鬼使神差般点了进去，平时很少用移动端的教务系统，点进去之后发现不是小程序，而是一个Web页面，条件反射似的复制了这个地址，回到电脑上尝试打开，不出意外的没有强制在微信客户端打开。 
然后就是一系列常规的信息搜集，包括目录扫描、子域名探测等等，没有什么特别的收获，于是挂上Burpsuite，转向业务上的逻辑测试，翻看了好一会请求包，在某个功能点（为了保命，就不说是什么功能点了）的响应里，直接返回了用户的密码哈希和明文，还有一系列权限信息，只能说做这个系统的程序员水平一般吧，大概率用了ORM之后，为了图方便直接把对象返回了，发现这一点之后，结合之前在学校内网拿下的几个接口，打组合拳成功获取到了任意一个学生的学号、姓名、所在学院、所学专业、和教务系统密码等信...