某小学弱口令进入后台

访问学生管理 - 樟树坪小学后台管理

输入账号密码

admin\admin123

并且是管理员权限

其中能对用户进行增删改查：

如下图：

对其创建后发现默认密码为123456

在数据监控方面也存在弱口令

admin\123456

是一个druid监控系统，可以查看里面所有的东西

任意用户注册并随意绑定学生：

小程序进入：

进行注册：

没有任何限制直接注册后登录：

随后点击打卡或者管理学生信息：

随便输入数字再进行查询，观察数据包：

进行遍历：

根据响应大小的不同进行查询用户是否存在然后进行任意绑定，以2024007为例：

可对其操作