经历了一个疫情，这不就要开学了。每到新生开学季，我们学校某社交公众号都会有一个活动叫新生爆照活动！

当我点开之后发现是一个投稿的网站，里面还有一个文件上传的点，啊。这！那就测试一番

emmmm我觉得还是算了，这里直接302跳转，而且还不知道图片的路径，也不好测试。而且图片也肯定会在后台筛选的吧！那我就从这个网站入手了。点开这个我网站管理登陆点。

啊，这怎么这么熟悉呢这个URL。是吧我就不多说了嘿嘿嘿。

经过测试这个网站，并无RCE漏洞。但是巧的是发现了这个网站配置错误导致的信息泄露 ，嘿嘿嘿！

这个也太巧了吧！通过这个信息泄露我找到了它的后台管理的登陆账号信息。

接着利用账号和密码直接登陆管理后台，啊 这 !

这就结束了嘛，其实这个管理后台是很多学校的哦！里面有好多好多学校的小姐姐呢。接着我利用Python写一个小工具，批量获取它的账号密码。

啊这！！！最后获取了几十个公众号管理的账号密码，登陆进去也是不同学校的。啊！这！不得不说其他学校的小姐姐也挺漂亮的哦！