roko

某edu渗透杂烩信息泄露 首先对某edu进行了简单的信息搜集，发现某网站使用了WebPlus，去网上查找相关的漏洞，发现该网站群存在数据泄露的问题 直接进行一手复现，发现泄露了其邮箱，身份证号等关键信息 接下来利用该关键信息，进行账号密码的枚举，成功登录 未授权 在逛某网站的时候，无意中发现该网站是利用状态码来判断是否有权限进行访问，那么我们直接可以利用该点，进行一波未授权访问 修改响应，成功获得关键信息 感谢tiran神给的前半部分，博客->tiran.cc

介绍webService三要素： wsdl：用来描述如何访问具体的接口 uddi：用来管理、分发、查询webservice soap：连接web服务或客户端和服务器之间的端口，使用http作为底层通讯协议，xml作为数据传送的格式 php中的SoapClient类 php的soap扩展可以用来提供和使用webservice，这个扩展实现了6哥类，其中soapclient类是用来创建soap数据报文，与wsdl接口进行交互的，同时这个类也有反序列化常用到的__call魔术方法 构造函数 123public SoapClient :: SoapClient （mixed $wsdl [，array $options...