爱华网杭州正方科技股份有限公司下的正方教务管理系统众所周知是一个漏洞很多的系统。曾听闻有同学通过修改成绩,并拿到了学位证书。接下来我说一下正方教务在近几年发生的变化吧。1)验证码,防爆力破解2)曾设wap版,方便手机访问。
3)开通校内访问,校外访问两个入口
4) 由之前xs_main.aspx改js_cxxs.aspx,通过修改url来查访成绩
5)上传漏洞 ,致使数百万大学生信息暴露。
6) 添加代码,查询已经隐藏的页面。
7)NOB正方教务系统改造器全都失效。
8)getshell漏洞,至今未补上。
大家看得出来,近些年正方科技公司更新挺勤快的。一但一个漏洞发现,或一款快速选课或优化工具被开发出来,正方就会很快更新。
NOB正方教务系统改造器是一款可以简快登录,快速选课,显示隐藏页面或链接,查个人成绩,查平时分,查卷面分,查GPA的js工具。但是已经失效了。
要想提前知道成绩,我认为要技术完成以下两点(非SQL注入)。
1、绕过url过滤。如果我没有猜错的话,正方在路由上使用了web版的url过虑,该url过滤程序可能是教务系统上新增的一个模块。
2.获得学生用户查看成绩伪权限。学生本来是有权限查看成绩的,但是被管理员设置了没有权限。这个时候,我们要给用户一个查看成绩的权限,而不通过注入修改权限。
2014旧版正方现代教务系统查成绩的方法,没有评教也可以查。方法如下:
首先使用IE浏览器,打开工具——>internet选项——>安全——>自定义级别——>脚本——>java小程序脚本(禁止)、活动脚本(禁止)
设置完成!重启浏览器,登录教务处网站,在信息查询页面下,看到成绩查询,点击成绩查询。
查完后,不要忘记把刚才设置的再还原一下,不然会影响浏览器正常使用。
