WooYun.org

首先，让我们来到华工新生入学指（直）南（男）的页面http://202.38.193.235/zhinan/preLogin/login.aspx

拖到页面底部我们可以看到登陆用户名的构成以及亮瞎狗眼的初始默认弱密码。

好的，获取一个准考证号的方法有很多，但是我仅仅是在贴吧搜索了一下“华南理工大学 录取通知书”就找到了一位可怜的娃丢掉了自己的准考证而且没被打码就丢到了网上。利用图片中条形码下方14位数字作为用户名，我们进入到了华工新生指南。

好的，我们点击学号及宿舍查询，能看到这位同学的姓名以及学号，继续点击住宿查询按钮，我们能够看到这位同学的大量敏感信息

我们尝试一下修改密码。点击用户名右边的注册信息修改（网站上是这么说的），但是我们发现，该网页打不开~挂了个VPN试试还是打不开。好吧，改不了密码哦。也就是说那个亮瞎人的默认密码你就必须得就这么用了。
好的，信息泄露我们看完了，我们来看看如何批量获取用户名吧。
首先回到新生入学指南页面

拖到下面，我们看到这个东东：

点进去流量详细统计。

 右边用户名一栏就是了。
这个网站大约在8月20号流量最大，我们只需要写一个脚本把这个页面上的所有用户名抓下来然后配合通用弱密码，我们理论上就能获取到所有新生的信息啦~