文章总结： 这篇文章详细记录了对学校小程序的漏洞挖掘过程，通过信息搜集发现学生学号，进而测试小程序发现隐藏查询方式获取身份证信息，以及默认密码、越权修改和存储型XSS三个漏洞。作者强调大胆猜测细心实践的重要性，并展示了如何将多个低危漏洞组合成中危漏洞获得证书。文章提供了实用的渗透测试思路和方法。 综合评分： 88 文章分类： 渗透测试,漏洞分析,WEB安全,实战经验,SRC活动

记一次证书站的漏洞挖掘

用户6GKonKium9

李白你好

2025年12月15日 08:00 青海

免责声明：由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

各位师傅们可能常常对着web站点一顿猛干，可能搞了半天没出货，这个时候可以去对应的小程序去试试，小程序的洞还是比较好找的。这次的证书站是在做好信息搜集的情况下，不断寻找小漏洞然后最后拼成一个中危才拿下的。

文章作者：先知社区（用户6GKonKium9 ）

参考来源：https://xz.aliyun.com/news/90663

1►

信息搜集

先打一把谷歌黑语法

成功找到学生学号

虽然只有学号和姓名但是也够用了

2►

小程序测试

点击微信的搜一搜

然后输入学校名称并点击账号

这个时候就可以一个一个测试了

经过一顿测试，发现这个小程序存在信息泄露

点击电子票据

发现可以选择证件类型

虽然表面上是只有三种查询方式，但是实际后端可能存在其他的查询方式，比如直接通过学号查询

我们先选择身份证然后填入学号，看看能不能查询出来

结果居然真的查出来了

确实是标准的票据

但是这里面并没有敏感信息

我们抓包看看具体的请求参数是什么

发现一共有4个参数

第一个billtype并没有什么用，修改值并没有什么变化

第三个和第四个就是我们输入的信息

第二个payeridtype就是查询方式，我们之前有看到前端查询方式就只有3个，猜测对应的值就是1,2,3，但是我们又可以通过学号去查询，猜测刚刚的查询方式没选对，导致票据只显示了那种没敏感信息的类型。合理的怀疑就是这里可能还有其他的查询方式，于是我这里就改成了4

实践下来，我的猜测得到了肯定的回答，确实还有隐藏的第四种查询方式，可能开发在测试的时候没把这个地方给删去，导致可以通过学号就可以找到对应学生的身份证了

到这里就已经找到了一个中危的信息泄露了，本想着可以直接拿下证书，但是审核说重复了，我猜测可能学校已经修改了这个洞，但是只是在前端可选择查询的地方给修改了一下，实际后端还存在这种方式

那就没办法了，得继续去找还有没有其他洞了

3►

在战小程序

又测试了一下，锁定到这个小程序上

点开网上订餐，又是经典的登录框

先测测有没有弱密码或者默认密码什么的

过测试，存在默认密码，但是默认密码是身份证后6位之前的信息泄露

这里就用上了到这里我们拿下第一个漏洞点，存在默认密码

登录之后，首页和订单也没什么东西，感觉这个小程序已经被荒废掉了，根本没人用，只能试试有没有越权的地方

点击我的地址

然后随便新建12个地址

点击右边的编辑选项并抓包

可以看到一个id的参数，猜测这个就是我们地址的id了现在我们去登录另一个账号然后也随便创建一个地址试试

点击编辑并抓包

此时id为2285，我们把id修改成刚刚的2284然后修改信息

放包

提示更新成功我们回到刚刚登录的第一个账号上面看看信息

成功修改，存在第二个漏洞点，越权修改信息

因为这个越权的功能点的威力没那么强，而且这个站点可能已经是荒废的，所以可能评的分没那么高，所以我又找了个xss

刚刚的修改地址处可能还存在xss，于是我就尝试插入了xss的恶意语句

记得接上反引号，转义一下引号

修改成功

当用户点击这个确认的时候就会触发xss

存在存储型xss后，我们成功拿下3个漏洞点

3个低危拼成1个中危，也是成功拿下证书 (拼好洞)

4►

总结

总的来说，这次渗透流程后面的操作都比较常规，越权和xss都只需要去慢慢尝试就可以了，前面的信息泄露在于去尝试，说不准就有隐藏的方式可以被利用，大胆猜测，细心实践。

5►

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

查看原文：《记一次证书站的漏洞挖掘》