文章总结： 文章记录作者在某edusrc小程序中通过校友企业接口泄露手机号与身份证，再借头像上传无校验实现.php文件解析，最终拿到RCE的完整过程，思路清晰且可复现，提醒测试者关注小程序弱鉴权与上传缺陷。 综合评分： 82 文章分类： WEB安全,渗透测试,漏洞分析,实战经验,漏洞POC

某edusrc小程序rce漏洞挖掘

原创

陌笙 陌笙

陌笙不太懂安全

2026年1月22日 18:52 河北

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号陌笙不太懂安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉，谢谢！

漏洞挖掘

web挖不动了,可以瞅瞅小程序，很多中学的小程序还是很脆的，因为多数都支持一键登录。。。信息收集之后，看到了这个小程序，进去看看功能。

点击小程序进行登录，登录之后把对应的功能都看看

测试之后发现这个校友企业存在问题

点击校友企业

会出现校友创建的公司，注意这里直接返回了，校友的名字

记得之前看文章的时候，看到过，前端只是渲染了后端返回数据的一部分

所以退出到上一个页面，点击校友企业进行抓包

成功返回了，校友的敏感信息，手机号，sfz啥的

非常合理，继续测试

来到小程序最容易出现问题的地方，上传头像处的xss

点击个人信息

点击头像进行上传，随便选择一张图片，进行上传抓包

将数据包后缀修改为.html进行上传测试

没有做限制，访问上传成功之后返回的路径，又水一个

本来都打算跑路了，后面想了一下既然连个waf都没有

大胆点尝试一下getshell

观察上传数据包，发现是php写的，修改后缀为php然后

内容写一个phpinfo();不需要写一句话，证明解析即可。

发送数据包成功返回上传路径

进行访问尝试，成功解析

后面发现图库啥的，只要能上传东西的地方，都没有做限制，直接写报告，提交跑路。。

后台回复加群加入交流群

有思路需要的师傅可以加入小圈子

主要内容是（2025-2026/edusrc实战报告）

其他内容懂得都懂，持续更新中

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：陌笙不太懂安全 陌笙 陌笙《某edusrc小程序rce漏洞挖掘》