黑到學校教務系統里改成績,這個需要什麼水平?

今天突然想到這個餿主意,但是身邊的人都沒聊過這個話題。。。。。。
認識掛科多的學長直接花錢了事。想必要黑掉學校的教務系統也不是一般人能做到的


謝我同事邀。

題主不是黑產,也不接任何入侵的工作。因為有人冒充我,所以解除匿名,累...

其實第一次聽說要去黑教務系統,其實我是拒絕的,因為,你不能讓我黑,我就馬上去黑,第一我要試一下,因為我不願意黑完了以後再加一些特技上去,系統cheng的一聲就進去了,很亮、很柔,這樣觀眾出來一定會罵我,根本沒有這樣的黑客,就證明上面那個是假的。
後來我也經過證實他們確實是用老掉渣的asp寫的,黑了以後就主要就改了一下自己和幾個哥們想要的選修課程,順便調一下必修課好跟幾位大神一起上課有個照應,也不忘看看某幾位校園知名女神的聯繫方式,最後順便觀摩一下各位同學給老師的期末評價,感覺還不錯。
後來我在黑的時候也要求同學們不要驚訝,因為我要讓觀眾看到,這個系統代表的並不是一切教務,它只是一個電子檔案,即使數學掛科,也並不敢修改系統成績,你們黑完之後也會是這個樣子!

Re題主:
技術水平:黑進教務系統時普通的本科大二,學校的賣點是計算機。

網路安全是一個完整體系,安全這回事,7分靠管理,3分靠技術。
學院的教務系統是在2002年寫成的,號稱100W+都不賣,功能非常強大是事實不吹不黑,然而安全防護確實弱得掉渣。黑進去並沒有太大難度,

原因:

1.管理人員(有多弱?答主發現教務系統存在漏洞後上報,漏洞並沒有被及時修改。後來BUG傳播開了,大家收到群通知,勸大家別用漏洞,否則後果自負,這個BUG保持到現在)

2.弱得掉渣的系統(計算機是一個高速發展的科技產業,2002年的系統放到2010年依然敢吹一波,各種頁面沒有session授權屏蔽,iframe被拿來獨立使用打開,id和curl請求欄位名明文直接暴露在URL,可通過修改id隨意跳轉,test賬號高許可權弱口令,用完後管理員哥哥忘記修改等等......)

3.很弱很弱的管理體系
(定期培訓人員,定期培訓人員。因為很重要,所以說兩遍。比如,新來的清純教務員MM賬號是4位純數字,密碼可以自己修改,一般是ta自己的名字的拼音+生日YY/MM/DD格式)

4.答主平時喜歡折騰網路安全,某盾杯攻防大賽得獎者。

&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>

雖然,這個教務系統的設計是如此的辣雞,但不要以為黑掉教務系統把成績改了真的會沒事。因為在設計的初衷,它也是遵循著AAA原則的(authentication,authorization,account)。
如果真的黑進入了教務系統你最多可以做:(注意是最多,最極限,做完一般不會被發現)

1.修改曠課信息
2.修改遲到信息
3.查看所有學校人員的通訊錄
4.查看心儀MM的所有信息(生日,家庭住址,個人手機,宿舍號,課程表,各科成績)
5.調整自己/好哥們/GF/ 的課程(前提是這個課程是開設的,有空位的)
6.查看全校的課程信息和全校學生的信息

進行以上行為的時候,由於教務系統在設計當初會對各方面消息進行一個記錄,而這些消息是分級別的,比如,你查一項成績,那麼它乾脆會沒有記錄,或者只記錄一個notice級別的日誌到另一台非教務系統伺服器,這些消息每天產生成千上萬條,一般不會引起大家注意。而修改一次曠課信息,可能會記錄一個warning級別的日誌,這其實並不是特別大的事(類似於學生曠課後向老師求情,取消這次曠課。)

為什麼不建議修改成績呢?
當你修改成績的時候,它會產生一條fatal級別的日誌,以後用作生成報表,供教務系統人員計算績效之類的用途。

如果我非要修改成績,或者想要拿獎學金而必須修改曠課記錄呢?
同學,有些時候我們不得不做出一個艱難的決定。比如明知道自己最後一次補考絕對考不過,反正畢不了業跟被記過離校沒什麼區別的話。那麼......

這時候,可以考慮最後一招:不僅僅修改我個人的成績,而是修改整個上過這個課,或者是考完期末考試(比如6月30日,全校老師開始登記成績)修改全專業或者全班所有人的考試成績
那麼,這就不是個人修改行為,而是教學事故,是系統故障,是大自然的鬼斧神工.....


最後的最後&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>
教務系統,它的實質只是作為一個CMS在使用,主要功能是記錄學校的管理資料和一些簡單的師生互動,類似於自動化辦公,並不是這個學校的一切記錄。
你的成績是會被記錄在,紙質試卷,學校紙質檔案,輔導員/學習導師/任課老師的心中的,尤其是你考了第一名或者你掛科了。
改得了教務系統,改不了記住了你的人。

&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>&>
收穫了很多贊有點受寵若驚。
LZ 不接私活,不接私活,不接私活

不玩微博,文章隨便轉。

這裡只是淺入淺出地評估了教務系統的技術水平和弱點,並不鼓勵大家去嘗試入侵。
因為如果入侵不成功,那可能會被系統記錄,各種叔叔阿姨就會來到電腦前找人,到被套上各種莫須有的罪名就難開脫了。

而如果入侵成功,也不要去修改成績。因為收益雖然大,但是風險更大。掛科大不了補考或者花錢重修,最嚴重是推遲一年畢業,先拿結業證下一年回來補考。(這都是年輕時犯的錯啊,要自己勇於承擔)

修改成績被抓,輕則記大過永遠留檔,重則被踢出校並且留下嚴重誠信問題。

與其花時間去劍走偏鋒,不如 好好複習/走關係/找替考/收買老師要試卷?


這是頗有感觸的問題

先回答問題:水平不需要很高,不過可能需要點悟性。

母校是985,我上大學的時候,大概十年前吧。知道教務系統是聯網的時候就知道有戲了,當時是ASP+MSSQL。信息量太少,直接拿不下,從子網入手,嗅探得管理員賬戶。導出了小馬,海陽頂端,熟悉么?
後面換系統了,換到了正方,aspx+Oracle,系統換了管理員密碼也沒改,呵呵。至於正方,大家可以去烏雲搜一下看,那真是慘不忍睹啊。
以上是都是技術上的問題,就當時來說要求並不是很高。

聊點其他的
當你可以改成績的時候,專業學習就是基於興趣了,而不是學業的壓力。所以我的專業課學得非常糟糕,真實的成績基本上都是60-70分左右,還掛了一科,對了我學的是土木。
本來是可以平安渡過本科,順手撈一個保研。可是小夥伴們搞得太過分,被發現了捂不住,把我給供出來了。好吧,誠懇認錯。校方也投鼠忌器,既往不咎,只是把一些科目給改回來,反正就是不得保研了。據說之前偷改紙質成績是挨開除的。
小夥伴們後面找到了路子,收錢辦事,據說沒畢業就有7位數了。但是不擦屁股的老毛病還是沒改掉,結果他們沒畢業就進去了,還上了新聞,哎呦。
之後就不碰這東西了,畢業了找了份工作,安心幹活。

搞這種是可以判刑的,整天擔驚受怕,想想要是被抓到這麼年輕人生就被毀了,還真不如用心讀書。


我靠撞庫 因為系統實在無解 並且沒有旁站供我搞 撞庫之後沒啥技術含量了 直接截斷上傳拿shell


歪個話題,與其在成績出來後改成績,不如:
1、對同學開展社會工程學(以下簡稱社工)工作;找個學霸做大腿,考試給助攻。
2、社工老師;平時好好表現,上課主動回答問題,考試最後答疑課分分鐘套題(僅限姑娘對男性老師)…
3、黑老師郵箱/電腦;這是最靠譜的方案了…直接A/B卷都拿到手,想要多少分都行。
4、黑學院教務老師/郵箱電腦;同上。
5、黑學校試卷列印室電腦;這個看人品,有的列印室還用台式機做個文件中轉什麼的,甚至還連外網…
6、考前偷試卷;對於期末考試,列印室管理一般不會太嚴,找個校外的兄弟打扮打扮混進去拼拼人品也是好的。
7、考完偷試卷;考完之後很多老師是把試卷直接帶到自己辦公室或者家裡批改的,這一路上都是機會,好好把握吧…

總之,等成績出來後下手就晚了…


這個不是取決於學校網站的技術水平嗎?
N年前流行SQL注入的時候,我試過了我們學校的網站,可以注入。不過也沒什麼有價值的東西,後來我把這個漏洞告訴了當時我們的資料庫老師。跟他講解了SQL注入的一些原理。

但是如部分人所說,如果被發現,開除是輕的了,代價太大,還是不要做了。另外也如部分人所說,有的學校的成績是備份的,改了也沒用。

網站的技術水平以及數據的架構都要看學校這方面的重視程度及技術能力。


記得上學那會…
學校新上線了一個數字化教學平台。
然後利用忘記密碼修改了管理員密碼。

請輸入你要找回密碼的賬號:admin
請輸入用戶編號:1

你的密碼被修改成了Hskx4A


弱口令 資料庫 插褲 烏雲什麼的就別指望了 你現在離線包都下不到了

更別談現學現賣。臨時抱佛腳了。現在根本不具備那個條件。

有些日誌也有明文記錄的。總而言之漏洞層出不窮 主要看管理員是不是2


何必拘泥於教務管理系統,一個備份就要爆炸了。思路可以再猥瑣一些。這裡把成績看成是輸出,那麼什麼是輸入呢?考生-&>試卷-&>作答-&>批閱-&>成績。避開替考、作弊和行賄等方式不談,說一說信息安全相關的部分。現在學校教師日常辦公任務下達大多依靠郵件通信,那麼自然而然的,電子版考試試卷的傳播也會不可避免的應用到郵件。那麼,coremail任意文件讀取漏洞 這裡,印象中FreeBuf中還有一篇專門介紹的文章。PS:郵件系統水平參差不齊,難免會有各種XSS 腦洞有多大,思路就可以有多猥瑣 PPS:掌握了郵服還可以有各種小劇場可以看,比如主任和年輕女老師不得不說的二三事、教授不辭辛勞,連夜輔導學生等等 (逃


至少不低於考出高分的難度


兩條煙一套化妝品的事,整那麼複雜幹啥


友情提醒:修改所有人成績!再嚴密一點就把部分同學成績拔高,所有掛科的全部提上及格。反偵察工作還是得做好的。匿了。


媽個雞,當年攻破防火牆之後就被學校IT的人track到直接帶校工堵宿舍被窩裡了。罰了一暑假社區勞動


教資料庫的副院長總是說,每次期末結束教務在線都會被入侵xx次…


211 985大四狗一枚,作為一個曾經改過別人成績的人,可恥的匿了。
首先是站在一個普通老師的後面看到了他的賬號,然後登陸上去,通過頁面將他提升成超管,超管有許可權下載學校的教務管理系統,反編譯之後拿到資料庫賬號密碼,連上資料庫,就可以做羞羞的事情了~
所以,就是這麼簡單,但是本人因為對分數沒有什麼要求,就沒有改過自己的成績,只是給一隻小白鼠加了點分,如果被發現,他可以含糊過去,如果沒被發現,那就是送他的咯

另外,不要在下面回復qq有償幫助什麼的,我不會接任何活的,同樣我也不會去加你們的qq,注意防騙


不謝


首先要看學校用的什麼教務管理系統,如果是正方,青蘋果,那麼恭喜你,很容易啦,烏雲上有很多公開漏洞。如果不是,先找找你學校用的什麼教務管理系統,有沒有通用漏洞,注入,xss之類的,沒有的話,就自己挖咯,社工也能搞定,總之不是很難,沒有攻不破的系統


黑進這個東西不會很難,當年我們學校的教務系統甚至是我做的。而幾個學生組建的團隊能有多大本事呢?

在現在看來,當年的自己就是戰五渣而已。

很多學校並不會花很大的成本做這個東西。所以你可以想像為什麼會讓學生去做。

問題是,改這個數據應該沒什麼用,原因嘛,隔壁的已經說了,有很多紙質的記錄,老師有原始試卷記錄,所以你改掉教務系統的成績其實是會產生明顯的問題,很容易被查出來的。


想到了一個問題,怎麼應對為了報復修改別人成績的行為呢……


作為一個曾經黑過學校系統的人表示,水平不需要太高,本人數學極其差,考4次加起來不到30分的爛分,學校補考一次300實在交不起這個錢,所以選擇黑,基本上不需要什麼特別高深的知識,只要思路清晰,完全是迎刃而解,不過不建議這麼做,我是平時在學校里不斷給人拍照,做視頻,沒時間也不想看書才這麼做,你平時看看書什麼的,比黑進去的風險小多了


=======================更新=======================

別再評論說有償求幫助了。。。你要不自己學習黑客技術,這些玩意網上都有,要不就好好讀書去。伸手伸多了,對自己沒好處,早幹嘛去了


有這麼牛逼很難掛科了吧


推薦閱讀:

如何看待有人練了很久的字,字依舊很醜這種事?
在三流大學隨時感到孤獨怎麼辦?
北京大學 2010 級古生物專業為何只有一個學生?
遇到墮落的室友要怎麼辦?
為什麼大學新生都喜歡爆照?

TAG:大學生 | 大學 | 黑客Hacker | 信息安全 | IT男 |