文章总结： 本文详细记录了某EDU平台的严重越权漏洞及后续绕过过程。通过修改type和school参数，实现了十余所学校数万条敏感信息的泄露。厂商初步修复仅对参数加密，仍可通过删除参数或抓取加密值绕过。此外，利用重置接口的ID遍历漏洞可接管所有账号。核心问题在于鉴权缺失，建议加强服务端权限校验而非仅前端加密。 综合评分： 85 文章分类： 渗透测试,SRC活动,WEB安全,数据泄露,漏洞分析

EDU通杀泄露十多所学校所有数据到CNVD编号获取再到绕过再到接管所有账号

原创

zkaq-eagle1

掌控安全EDU

2026年1月5日 16:02 江西

一、概述

此漏洞属于越权漏洞，发现过程：学校下发了一份关于大学生xxx的文件，文件要求学生使用默认密码登录后进行操作，紧接着我使用电脑进行了注册，手滑点了一下抓包，竟泄露全校学生信息？？？

二、渗透流程

2.1简陋的type参数

一看就像有洞的样子，直接登录！

登录进来我们会发现只有我们一个人的信息，那么有没有办法看别人的信息呢？废话不说开始抓包！

我们会发现利用了cookie进行了鉴权，其中的参数是学校id、用户名、密码、用户id等等，那么我们是不是可以尝试一波越权？

我们直接一个一个替换，最终在type处发现了越权！直接返回了 4000+敏感信息

2.2简陋的school参数

上一个测试我们测试了type参数，直接返回了4000+信息，我们发现还有school参数，那么这个参数我们去哪里获取呢？聪明的你一定想到了登录框！

这里有两种获取方式：

• 第一种：选取学校后点击登录即可获取
• 第二种：直接F12获取

我们用第二种，这里所有学校的id都出来了，我只测试一个

直接替换school的参数发包！最下面PID参数发现只需要替换3A后面的学校id即可，我嘞个豆，直接返回了3w数据，其中各种敏感信息！这一步我们已经跨越了学校，获取了其他学校的学生信息！

经查看，竟然有10几所学校用了这个平台，我们一拳打过去竟然把所有学校的信息都打出来了，这里只测试一个，用于提交报告给相关人员，此时我们的cnvd已经通过了。归档后经过测试发现企业已经修复啦，这个效率给个大大的👍

2.3简陋的修复

接上文，发现修复后，我又进行了测试，结果就是修复了但没完全修复(狗头)

2.3.1type参数新绕过

依旧登陆后抓包，什么？？？所有的参数我们都看不懂了0.0

那么我们这次就不修改了，妥协了，看不懂怎么办？当然是不看他，直接给type删掉试试呢？

诶呀我勒个雷啊，直接泄露所有信息，泄露量比上次还大，难道是数据更新了吗？

2.3.2school参数新绕过

修复后对school参数进行了加密，我们还想去获取其他学校信息怎么办呢？？？好难猜呀，当然依旧是登录框起手！

school参数这不就来了嘛，好了上菜！

小小的替换，大大的漏洞！

2.4简陋的重置密码

在后续中发现了重置密码的接口，那么我们来试试

竟然通过id传参

3508是我，那么3507是谁，是不是我的学号前一位呢？

修改成功了，我们去用重置后的默认密码登录他的账号，我勒个雷啊，拿下舍友的帐号了。那我们根据上面的流程走一便岂不是接管所有人的账号了？进一步是不是可以拿到admin的账号？

三、总结

此系统鉴权不完整，没有设置谁拥有谁能看谁能操作的权限，导致漏洞百出，修复过程只是对参数进行了加密，依旧没有做完整的鉴权。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-eagle1《EDU通杀泄露十多所学校所有数据到CNVD编号获取再到绕过再到接管所有账号》