文章总结： 本文记录攻防实战案例，重点讲解逻辑漏洞利用。通过挖掘隐藏接口发现密码重置缺陷，绕过手机号校验修改任意账号密码，窃取大量敏感数据。随后利用权限分配接口漏洞，篡改参数ID实现普通账号提权。建议开发者在密码重置时强制校验手机号一致性，并在权限变更处实施严格的鉴权控制。 综合评分： 82 文章分类： 实战经验,渗透测试,WEB安全,漏洞分析,红队

记录某攻防实战案例-新手小白专属

原创

zkaq – newugly

掌控安全EDU

2025年12月22日 14:53 江西

一、任意账号密码修改

开局一个框，遇事不要慌

通过查找 findsomething 插件或者使用 urlfinde、jsfinder 查找接口发现一个忘记密码修改密码的接口，前台是没有忘记密码这个功能的，只能通过查找 js 文件里的接口

请输入登录名或密码，可以尝试输入一个用户名，然后下一步，可以看见他可以直接获取验证码发送验证码到手机号，而且手机号已经显示在前台

点击获取验证码，通过 bp 抓包将数据包拦截，尝试将手机号换成自己的手机号获取验证码

使用自己手机号接收的验证码去修改 system 账号，显示修改成功

说明服务端只校验了验证码是否正确，而没校验这个验证码属于谁，正是因为该逻辑缺陷导致可以修改任意账号的密码

登录后发现并没有什么有价值的信息，在后台找了一波也没有发现可以 rce 的漏洞，

很奇怪的是该 system 账号并没有什么功能点

但是其中有一个查看系统日志的功能，可以看到其它用户名，system 账号没有什么东西，但是可以修改其他账号去看看

通过修改几个账号后发现，有一个账号可以查看学生花名册，掏到了很多数据分

这只是一个校区的，通过该方法修改了 10 多个账号的密码，成功获取到了 2w 多条个人信息

二、后台账号提权

当时只有几个账号是可以看到学生花名册，显示可以看到花名册的账号角色是校区管理员账号。

为了扩大战果，我查看到了校区管理员账号有一个功能就是可以给普通账号分配角色

使用 bp 将给普通账号分配管理员角色的数据包拦截，可以看到只要是管理员账号就可以将 getuseruid 参数的 id 值的用户修改为管理员权限，这样就可以将没有看到花名册校区的普通账号修改为管理员权限，这样就可以看到花名册了，而这个getuseruid 值在用户登录的时候服务端已经给返回了

将普通账号提权为管理员又获取到了一波敏感信息

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq – newugly《记录某攻防实战案例-新手小白专属》