文章总结： 文章记录从证书站小程序弱口令进入后台，通过篡改id越权获得管理菜单特征，再借小程序token仿冒登录Web端，用VueCrack枚举路由发现未鉴权人员管理接口，重置管理员密码并批量获取21万用户密文，最终提交获10分证书漏洞，全程提供详细包分析与工具用法。 综合评分： 78 文章分类： 渗透测试,WEB安全,红队,漏洞分析,安全工具

记一次某证书站小程序到网站管理的测试

原创

zkaq-mike123 zkaq-mike123

掌控安全EDU

2026年1月24日 14:23 江西

扫码领资料

获网安教程

本文由掌控安全学院 – mike123投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn  ）****

一、前提提要

来到一个证书站的小程序

二、站点测试

登录框测试的话首选的一般都是弱口令 先登陆抓包怎么传密码

这里看到是明文传输 那直接试试字典跑一下 最后也是跑出一组弱口令 账号密码都是一样的 进入后台

进入后台点几下然后观察一下数据包 这里我点击我的时候抓到一个这样的包

看到id很多师傅都会很兴奋

这里我置空一下看看情况

什么都没显示 那我添加个1呢 一般来说1有很大可能是管理的id

不出所料 1是管理的id

我这里直接替换数据包然后看看是什么个情况

这是普通账户的

我更改1以后的

可以看到是多了很多功能 但是我点了几下都找不到危害点 这时候产生疑问 改成1后的数据包有很多菜单

但是为啥我这个小程序点了半天都没找到呢 有可能是删除了 然后看了一下返回包 很像web端的管理菜单 这时候就在想是不是有web端呢 然后就去扫了下该站的目录

使用dirsearch成功扫到了web端的登录口

https://xxxedu.cn/xxx /#/login

奇怪的是我用小程序爆出来的弱口令一直显示密码错误 抓包发现不是同一个登录接口

这时候跑了弱口令也是没一个能进去 那我们如何测试web呢

这里我们来看两个数据包 分别是小程序登录返回的数据包和web登陆返回的数据包

细心的师傅应该发现了 格式非常像 我们如果替换掉小程序登录的结果 是否能进去web端呢 这里我也是这样尝试的

这里已经进去了 但是一直没有菜单

可以看到路径有个#号 感觉像vue框架 这里使用VueCrack工具看看路由情况

发现特别多路由 这里点了几下

这种配置只要能创建 在edu中就已经可以中危了 达到了证书获取的条件 然后又点到一个路由

人员管理的界面都没鉴权 这里直接重置管理的密码然后重新登录

直接进入管理帐号了

点击人员编辑会抓到这个包

此时id我们都能知道了

由于返回包泄露了密文密码 edu是收的 理论上这21w用户的密码都能泄露 最后打包上去也是拿下一个10分漏洞

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

网络安全人员必考的几本证书！

            文库｜内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-mike123 zkaq-mike123《记一次某证书站小程序到网站管理的测试》