WooYun.org

关注朗文交互英语很长时间了，扫了很多次的目录，注入点测试了很多次，弱口令试了又试。但最终都是失败了的！难道是姿势不对？
因为明天就要考试了，英语的期中考试，是通过网络的形式，在朗文交互英语上考。抓紧时间，一次次的测试，漏洞还是没有发现，没有任何的进展。就在绝望之时，在乌云看了下之前的漏洞，都是13年之前的洞了。看到 寂寞的瘦子大哥之前提交的这个 WooYun: 朗文交互式英语重置任意用户密码 受到了启发。我也去试试用户密码的重置！
......
但是找回密码的方式没有通过修改手机找回了！这样虽然是防止了爆破的可能性。但是，这次破天荒的设置了密码重置的方法。去试试.....
果然可以！上面的这四点信息很容易就找到的，因为朗文交互英语的成绩会和学分有关系，在注册账号时老师要求用学号来注册，不知道你们是不是这样，反正我们是这样的！
重置了一个用户的密码！果然很爽！在通过加入任意一个班级，在发送消息哪里可以获取到任何人的这些信息。重置密码变得很简单。算是成功了，但貌似目的还没有达到，明天的期中考试卷子啊！这时，目标转移到了老师的那里，理论上，老师的密码也是可以重置的，但是我没有找到老师的学号！不知道老师有没有学号，测试了老师的工号，不可以。
......
既然你们网站的程序做的很好，去看看你们客服的安全意思怎么样！大牛们都说，人才是最大的漏洞！
加了客服的QQ后，一共没有说10句话，就帮我把老师的密码修改成为了123456！哎，客服大大，一定是个妹子！
好吧，顺利完成！试卷已经打包下载！明天的考试就不愁了。那会儿兴奋的给女神发了条短信：我拿到了明天期中考试的卷子，你来吧。
......