前言：漏洞均已提交且均已修复
这里文章只做技术交流

挖掘过程

初步挖掘：

打开网站时发觉是一个很无趣的登录界面
在常规的扫目录以及弱口令爆破后均无果 挖掘这个系统

就随缘看了下源码和爆破js界面这些东西
反查看主页源码时无意看到个这个接口 即index.jsp页面

对其进行拼接查看
可进行访问即未经授权可访问

进行抓包拼接输入内容
获取到这个包
这里做了一个校验旧密码的操作