VULHUB ™

可以通过正方教务管理系统的C/S客户端进行任意账号的登录操作，服务器会返回其账号极其加密后的密码，通过简单的解密即可任意登陆系统，使系统处于危险之中。具体如下所述： 1、可以通过旧版的C/S客户端登陆系统，初始化界面，这个时候系统已经登陆到数据库中了。然后任意输入一个账号密码，单击登陆按钮，立即采用抓包工具抓包，可以发现系统已经向服务器发送了一个查询的SQL语句  2、这时候因为随意输入的密码，所以会提示您密码输入错误！  3但是....令人发指的是，抓包发现已经把账号密码发到自己的客户端上来了，截图一枚，这里的密码虽然经过加密，但是加密的方式实在是想让我唾骂一把！很简单，大家自己看着办吧！  4然后，然后就没有然后了，顺手登陆上去了哦！ 

可以通过正方教务管理系统的C/S客户端进行任意账号的登录操作，服务器会返回其账号极其加密后的密码，通过简单的解密即可任意登陆系统，使系统处于危险之中。具体如下所述： 1、可以通过旧版的C/S客户端登陆系统，初始化界面，这个时候系统已经登陆到数据库中了。然后任意输入一个账号密码，单击登陆按钮，立即采用抓包工具抓包，可以发现系统已经向服务器发送了一个查询的SQL语句  2、这时候因为随意输入的密码，所以会提示您密码输入错误！  3但是....令人发指的是，抓包发现已经把账号密码发到自己的客户端上来了，截图一枚，这里的密码虽然经过加密，但是加密的方式实在是想让我唾骂一把！很简单，大家自己看着办吧！  4然后，然后就没有然后了，顺手登陆上去了哦！