文章总结： 本文记录了针对某大学系统的渗透测试实战案例。作者从小程序入手，利用账户绑定的弱口令成功登录，进而发现越权访问与删除漏洞。通过识别系统基于RuoYi框架，构造接口枚举用户信息。关键突破在于复用小程序登录的Token替换Web端登录响应包，绕过验证码与密码加密成功接管后台。文章展示了从小程序突破到Web后台权限维持的完整链条，建议开发者加强多端认证鉴权校验以防范此类风险。 综合评分： 80 文章分类： 渗透测试,实战经验,WEB安全,漏洞分析

记某大学从小程序到web简单挖掘渗透

原创

陌笙 陌笙

陌笙不太懂安全

2026年3月12日 18:36 河北

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号陌笙不太懂安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉，谢谢！

前言

直接简单信息收集搜索学校名字

发现学校相关小程序开始测试

（一般这种和预约、拜访、参观、管理系统、校友会、设备管理等测试点容易出货）

点击小程序开始测试

发现有两个功能点

进行尝试点击微信授权会手机号一键登录但是没有sessionkey相关漏洞，修改返回包手机号只是前端修改，功能点极少，本次突破，这个账户绑定

   点击账户绑定，这里可以尝试注入，弱口令，修改返回包等

我们输入admin/123456成功绑定了管理员账户进行登录，发现上号超级管理员，但是这个管理员有点怪，感觉不是超级，没啥功能点，记录也只能看到自己的，这你扯不扯，既然看到记录，测测越权啥的。

点击详情进行抓包（抓包要一直开这着使用插件被动扫描一些东西有可能会有意外搜获）

抓包后看到，有的路径里面有id，这不正好是越权的特征。

越权常见点

尝试修改id

发现可以越权，但是只能查看姓名手机号啥的危害肯定不够，我们重新回到首页，试试另一个功能点删除有没有越权

点击删除看记录发现也有id，应该是吃了

放到重放模块，尝试修改id成功越权删除，成功

这个时候可能有的师傅就要打包提交了但是测试一定要细致发现更多的功能点

回到首页，点击设置，进行抓包

可以看到/system/user/profile,这个接口是查看自己信息的

有没有感觉像ruoyi的接口，跑接口看一下，发现有的接口能用，但是数据太少自己构造?pageNum&pageSize=1000

成功可以查看系统所有用户信息

构造技巧，也可以直接使用ruoyi的接口列表跑一下。

众所周知，打小程序，就不能只打小程序，尝试访问web

直接复制链接地址在浏览器打开

一眼ruoyi,尝试弱口令nday啥的，都没有，输入弱口令抓包查看，密码有加密，而且有图形验证码，直接放弃

但是回头想一下，我们是从小程序来的，且还是弱口令登录进去的，能不能替换一下登录凭证

开始尝试，回到这个页面点击登录，拦截返回包

可以看到有token信息

回到登录页面，进行替换返回包

神奇的事情发生了

直接管理员身份进入后台了

后续继续查看，发现设置可以修改网页内容，公告通知这里可以修改 规章制度这里可以修改 如果修改 可以把整个站改成黑页

进行简单尝试发现确实可以修改，修改回原内容，over

打包提交跑路

后台回复加群加入交流群

广告：  cisp pte/pts &nisp1级2级低价报考，货比三家不吃亏。

有思路工具需要的师傅可以加入小圈子

1、src挖掘思维导图，信息收集思维导图，edusrc挖掘思维导图，以及后续的红队&面试思维导图&自己网安笔记等持续更新2、2025-2026的edusrc实战报告包含证书站和非证书站以及2025之前的各种优质报思路分享3、各种src报告思路分享（内部&外部）4、分享各种src挖掘&edusrc挖掘培训资料&视频5、不定期分享通杀、0day6、有圈子群可以技术交流以及不定期抽取证书&免费rank7.分享各种护网资料各家安全厂商讲解视频&精选实战面试题目8、各种框架漏洞技巧分享9、各种源码分享（泛微、正方系统、用友等）10、漏洞挖掘工具&信息收集工具&内网渗透免杀等网安工具分享11、各种ctf资料以及题目分享12、cnvd挖掘技巧&CNVD资产&src资产分享&补天1权重资产分享&fofakey共用13、免杀、逆向、红队攻内网防渗透等课程分享14、漏洞库&字典以各种内容不在一一说明15、cisp-pte/pts&nisp一级&nisp二级&edusrc证书内部价格15、如果有漏洞挖掘问题或者工具资料需求可以找群主(尽量满足)

圈子内容简介

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：陌笙不太懂安全 陌笙 陌笙《记某大学从小程序到web简单挖掘渗透》