从密码重置打到Getshell和其它漏洞打包

主要观点总结

本文主要描述了一个公众号安全测试案例，包括针对体育学院的证书、密码修改步骤漏洞挖掘的过程以及相关信息收集和数据渗透的经验。重点展示了学号切入、时间设置、直接输入账号进行操作以及找到数据库密码的过程。

关键观点总结

关键观点1: 公众号安全测试案例介绍

文章介绍了一个关于公众号安全测试的具体案例，通过一系列的操作流程展示了对一个体育学院的证书漏洞挖掘的过程。

关键观点2: 关键操作过程

文章详细描述了使用Python生成字典进行FUZZ攻击的过程，包括设置时间、成功获取账户信息以及后续的信息收集和数据渗透操作。

关键观点3: 安全漏洞的发现与利用

文章展示了在测试过程中发现的安全漏洞，包括学号规律、数据库密码泄露等，并成功利用这些漏洞获取了敏感信息。

关键观点4: 跨站脚本攻击（XSS）和信息上传点利用

文章中展示了作者如何绕过某些防护措施进行XSS攻击，并通过利用上传点的特殊行为来绕过某些限制，进一步获取敏感信息。

关键观点5: 命令执行与获取Shell的经验分享

文章最后分享了通过命令执行操作成功获取Shell的经验，同时强调了对后台功能点的观察和测试对于信息渗透的重要性。