解决忘记准考证号无法查询考研初始成绩,解决强密码忘记密码且无法重制;
考研查成绩阶段,很多同学跟我说忘记准考证号了;
所以找了一个接口,进行了简单的爆破匹配;
找到了一个当时用来查考场的网页,一般像这种只实现简单功能的小网页安全性都较差;
这个就不例外,没有次数限制,没有验证码校验,所以可以直接循环提交表单进行爆破。
想要查询的同学只需要提供身份证号即可,根据大致的准考证号的范围进行逐个爆破,根据返回内容的长度等判断是否爆破成功。简单的代码示例放在最后。
另一个密码爆破!
由于学校要求弱密码全部改为强密码,kang同学自信的改为了很复杂的密码,而且不放心chrome,不让其记住密码;结果就是,忘记了;到查成绩的时候发现无法重置密码;
好在同样的强密码用在了很多地方,其中一个图书馆网站没有开启验证码校验,存在爆破可能。
所以根据kang同学回忆,提取了几个可能的关键词,因为强密码要求大小写字母、数字、特殊符号同时存在,所以构建排列组合,获取到了用于爆破的字典。
搞过密码爆破的其实都知道,最重要的就是字典,字典里没有,再爆破也没用。
好在kang同学回忆的关键词比较全,最终用类似的方法爆破到了密码。最后会放一个构建字典的简单代码。
准考证爆破简单示例代码
1 | from urllib import request,parse |
构建字典的简单代码
1 | # dict |