学校查成绩的app

whsdaks

我的学校在放假的时候查不了成绩，但是忍不住啊，室友发了个app给我，这个app可以查
而且这app也不是学校官方发布的
我去学校的官网却出现非法访问[url=]image.png[/url]

我就好奇，这个app的数据是哪来的呢/??
我就下了个抓包软件
抓取到的连接为 http://jw.nnxy.cn/app.do?method=authUser&xh=（这里是学号）&pwd=（这里是密码）


登录成功后找到了token项“eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9”  
   Base64解密后是{"typ":"JWT","alg":"HS256"}
根据https://www.cnblogs.com/xiekeli/p/5607107.html教程
"eyJleHAiOjE1Nzg4OTk4NzEsImF1ZCI6Inh1ZWhhbyJ9"
  Base64解密后是{"exp":1578899871,"aud":"xuehao"}  （aud项被我改了，原本是我的学号）
前面exp项里的是时间戳
之后就没头绪了，求大佬给一点提示


2020/1/13

我发现抓包结果不止一个链接，有3个
其中
http://jw.nnxy.cn/app.do?method=getXnxq&xh=学号
响应体是学期，
http://jw.nnxy.cn/app.do?method=getCjcx&xh=学号&xnxqid=2019-2020-1 （学期）
的响应体是成绩，
这域名是学校官网的，果然还是学校开放的后台吗？还是管理数据库的某位勇士？
那这样他不是可以改成绩了？

甘愿堕落

Truama 发表于 2020-1-12 18:07
什么公众号啊......现在放假了,想查成绩太难了,非得连学校网才能上教务处...

我们学校连官网都没，用的还是啥微校园微信里的那个

whsdaks

亿联网络 发表于 2020-1-12 17:09
能查的是什么app

不知道是谁好像可以访问学校的数据库，他自己做的一个app，只能查我那个学校的成绩

hlrlqy

这就是JWT认证 前后端分离 里面是数据加签名 ，可以看看有没有常见的jwt配置问题

liuchuangyu

留个脚印，到时候看大佬表演

judgecx

前来观看

Leonhardt

大佬，我想和你学科学。。。

diyikuai

来看一下。

亿联网络

能查的是什么app

Hacker-无心

是不是有Referer ？，用POST测试下

qqyyh

谢谢！来试一试看看。

lzspain

现在不都是用微信公众号查成绩么？