文章总结： 本文分享了作者在教育系统漏洞挖掘平台Edusrc上发现的首个中危漏洞经历。通过GoogleHack语法site:edu.cnintext:测试账号filetype:xls成功定位到某高校系统泄露的测试账号文档，利用统一密码123456登录教务账号后，在师生管理模块发现大量敏感信息泄露漏洞。文章展示了从信息收集到漏洞验证的完整过程，为安全研究人员提供了实用的漏洞挖掘思路。 综合评分： 78 文章分类： 漏洞分析,WEB安全,渗透测试,实战经验,安全意识

Edusrc | 我的第一个中危漏洞（捡漏洞）

黑白之道

2026年6月13日 08:27 韩国

在小说阅读器读本章

去阅读

以下文章来源于掌控安全EDU ，作者zkaq-满心欢喜

掌控安全EDU .

安全教程\高质量文章\面试经验分享，尽在#掌控安全EDU#

本文由掌控安全学院 – zkaq -满心欢喜 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

之前发过第一个漏洞 这篇文章给各位分享一下我的第一个中危险漏洞-一场酣畅淋漓的捡洞 先上图 1月份，捡到的第一个中危漏洞，现在想想还有点爽 给大家分享一个信息收集的Goole hack语法 site:edu.cn intext:”测试账号” “试用账号” filetype:xls|pdf|doc|docx 我就是用这个语法捡到的这个中危漏洞哦 相信大家看到这个语法也能知道是什么类型的漏洞了 没错就是就是系统自带的测试账号引发的信息泄露 上图 可以看到，这份文件文件中一共是泄露了三个试用账号：学生、教师、教务 并且，密码统一为123456 哦吼 直接尝试登录 拿到这个站点，当然首先得来一波笨比测试法 爆破，sql万能密码，忘记密码逻辑漏洞等等 可惜的是，无果 那就老老实实拿试用账号登录吧 直接登录权限最高的教务账号 这个师生管理哥们直接高潮了 点进去看看 更高潮了 看到这个就不用多说了吧嘿嘿嘿

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《Edusrc | 我的第一个中危漏洞（捡漏洞）》