基本就在这几个里面了,一个一个找过去
/mobile/plugin/1/ofsLogin.jsp
String loginTokenFromThird2 = AESCoder.encrypt(receiver+timestamp, syscode+Prop.getPropValue("transferE9","secretkey"));
可控写secretkey为固定值
syscode去查hrmtransrule,查不到就是空
所以这里需要receiver为loginid值,此处需要泄露
/mobile/plugin/changeUserInfo.jsp
type传getLoginid
mobile模糊查询,查到只有一个用户的时候就显示loginid,结合上面的漏洞即可登录