前言

本次漏洞挖掘较为基础，由于是第一次写，有不足之处还望各位师傅指点一下

正文

通过对目标信息搜集获取到这样一个网站

网站可以用学号进行登录，默认密码为学号后六位
经过一番尝试后登录进入该系统，获取到一份简历

目标站点如下

输入刚才获取到的信息跳转到短信页面
将手机号码修改为自己手机

成功接收到短信

输入验证码点击下一步提示 请发送密码

再次输入验证码 将号码修改为接收短信号码

成功跳转到修改密码界面

修改成功

使用修改后的密码进行登录成功

经过一番尝试后在个人信息处发现一处平行越权,通过修改url可以访问到其他用户身份信息
修改前

修改后

这里比较有意思的是url每次都要修改两回，第一次页面不会有任何变化。