抱着喜悦的心情打开查看了一下结果是空白的

但是我不死心，难得找到个可以导出的接口还不需要校验我要和他磕一下，翻查看一下前端的代码看看能不能尝试构造一下这个参数，翻到了这个

尝试使用这个参数构造一下，下载看看数据明显就不一样了，下载看看

好像确实有点东西，但好像没什么用？看上去就是个教工号和教职工号有点用，但现在好像用不上的样子，登录用的都是身份证，只能再翻翻有没有其他暴露的接口了

翻查了一下burp的爬虫看看有没有收获，我把重点放到了API的这个路径下，一个个翻阅的过程中，我发现了有一个特别的接口它不需要身份验证也可以查询数据，但是需要提供一个teaid的东西，然后我去查了一下这个值是什么

好家伙翻了大半天都没说这个是啥，这个时候突然想到了那个好像没什么用的教工号和教职工号的文件，尝试输入了一下，没想到真的返回数据了（后续尝试遍历了一下这个教工号数据都能返回），尝试用这个身份证和默认密码登录看看

登录成功了。

找到了个换头像的功能点

直接上传可见是没有任何过滤的

直接一句话拿shelll，龙年第一个shell

继续深入挖掘一下，想着既然都能遍历所有用户的信息，那就试一下测越权，但是在登录过程中有了一个意外的发现，在登录的时候发现teaid的值在登录过程中当作参数传进去了

既然有可以控制的参数点那就不要浪费，尝试测试一下

成功登陆xxx27的用户账号，任意用户登录到手了

继续测越权，登录第一个用户

登陆第二个账号，点击保存

得到以下数据包，可以见到手机号传进去了，更改userid为第一个账号的工号XXX51，并修改手机号参数改为13900000000，点击发送

刷新第一个账号的页面，可以看到手机号已经被更改了

最后因为账号打算做好事也要有点手尾，就想着把登录的账户退出了，没想到又有意外的发现，这个teaid又被当作参数传进去了

重新登录这个id为xxx51的用户，重放一下这个包，可以看到用户被退出了，也不需要任何交互，看来这个任意用户退出漏洞也到手了