文章总结： 作者在一次授权校园APP渗透中，依次挖出敏感信息泄露、平行垂直越权、任意人脸照片修改及存储型XSS四组漏洞；通过遍历userId可批量获取近两万条师生学号宿舍人脸数据，利用鉴权缺失可越权查看与修改他人考勤与人脸，上传伪装SVG文件结合Web端同源路径触发XSS，所有漏洞均已修复，过程给出详细复现步骤与利用要点，具有典型教育意义。 综合评分： 86 文章分类： 渗透测试,漏洞分析,移动安全,WEB安全,实战经验

记一次漏洞挖掘经历

黑白之道

2026年1月12日 09:19 山东

声明

本文仅供学习和研究网络安全技术。反对一切危害网络安全的行为。造成法律后果自行负责

注：本文漏洞均在取得授权情况下进行渗透测试后得到，且截止文章发布本文文章所有漏洞均已修复

前言

前段时间，刚好大三的学长学姐开始渗透校园网，那作为遵纪守法的好学生怎么能够放过这种有授权的好机会，于是也麻溜和老师报备后来到了机房，经过了漫长的信息收集后，也是想起来了前端时间让我们下载的 APP ，那 APP 既然是学校自己开放的，那就懂得都懂。

至于 APP 抓包的相关文章，各个平台也都有，这里就不再过多赘述了，主要还是和各位师傅分享下挖洞的经历

1 敏感信息泄露

在首页刷新后拦截数据包

可以遍历此userId

便可获取其他同学、老师信息

泄露学号、专业、宿舍、人脸信息共计可达 19000 条左右

然后我们就可以利用这些信息，进行进一步攻击

2 水平越权

越权查看他人账号相关信息（平行越权）

经过测试1-14590 为学生 14590-15000左右为老师

在首页刷新后查看到userid

此时可以修改userid

后面关闭拦截放包即可

然后在手机界面进入

此时点击三个功能点可进入其他用户的界面

可以查看到其他人的所有信息，无论是通行记录，人脸信息，宿舍号、班级、姓名等信息都可查看

3 垂直越权

还是在主页刷新，然后先放过前几个数据包

然后再通过前面越权得到的管理员权限信息进行修改

可以发现首页界面出现了新的功能点-考勤改签接口

在进接口前需要修改 persontype

一样能够进入其他系统

4 越权修改他人人脸照片

（ps：这里的数据包是我刚下下来 app 的时候抓的，只是没想到后面给这个功能点下下来了，然后联想到前面也没有鉴权，那修改人脸肯定不用说了）

大致的步骤是：登录账号A后，替换数据包的 Authorization ，确保经过 Authorization 的合法性校验，后更改数据包中的 base64 编码，通过本文第一个越权查看数据的数据包遍历id找到账号B的 userID ，然后将数据包的 userid 改为账号 B 的 id 即可替换

具体复现步骤：

抓包，找到关键数据包，修改userid查看数据

通过爆破 userId 可发现账号 B 的 userId=6299，personId=6297

登录账号B可发现照片为这个样子

在任意数据包中发现Authorization参数，并放入数据包进行替换

发包，然后发现已经修改成功了

登录账号 A 进行检验（各位师傅可以注意下照片的背景），发现已经成功修改

5 存储型xss

首页—>宿舍考勤记录—>找到申请改签

按照如下顺序找到功能点

发现有文件上传点

选择图片

（这里不需要点击提交，选择好图片就自动上传了）

修改图片、将filename改为svg结尾的图片，然后把文件内容进行替换

提交之后可以看到如下路径

出现后半段路径

e3631982-e9fe-11ef-9f5e-e8611a36bf65/xxxxx/2/xxxxxx.svg

到这里原本就已经卡着了，因为在 APP 端是没办法触发这个 XSS 的，但是突然看到了数据包 Host：参数，然后尝试访问了下，发现竟然访问上了，而且还和 APP 端用的账号密码是相同的，Web站点的图片保存完整url路径的概率就非常大了

登录该平台的web站点

打开F12

放到这个右上角图像位置

这里打了码可能看的不太清

https://。。。。。/evo-apigw/evo-oss/【路径】?token=【TOKEN】

到这里相信师傅们也会了，只要替换中间的路径，就能访问之前上传的文件，触发这个 XSS 了

证明存在存储型xss

文章来源：亿人安全

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《记一次漏洞挖掘经历》