ACT黑洞 - 教务系统SQL注入批量改分专案

ACT考试由ACT Inc.统一评分，但学校教务系统（如PowerSchool）会同步存档成绩。黑客团队通过Google dork搜索定位目标学校系统，利用 username 参数SQL注入绕过登录，获取管理员Cookie。


使用枚举数据库，发现 act_scores 表存储原始分数。通过批量篡改，数学满分36、科学34分（Top 5%）。


关键难点在于成绩归档系统（National Student Clearinghouse）同步：黑客伪造ACT官方PDF成绩单（使用LaTeX模板+真实公章扫描件），通过教务系统“成绩申诉”通道上传，触发自动归档。报价含教师通知邮件模板（“学生参加校外辅导后成绩提升”），降低校方怀疑。


痕迹清理采用“时间窗口混淆”：在学生月考成绩录入期间篡改，混入正常成绩波动；删除SQLmap临时文件、教务系统操作日志（通过 TRUNCATE logs 清空表）。售后提供“成绩锁定服务”：定期监控Clearinghouse记录，若异常则伪造补考成绩覆盖。