文章总结： 本文记录了某EDU证书站的越权与任意用户覆盖组合漏洞挖掘过程。作者通过注册双账号，在会员资料保存功能处修改数据包ID实现水平越权，进而尝试修改userId字段，成功覆盖目标账户信息并篡改登录凭证，导致原账户失效，实现任意用户覆盖。文章强调在功能点较少时仍需耐心测试，并提醒合规授权。 综合评分： 85 文章分类： 实战经验,WEB安全,渗透测试,漏洞分析

书接上回，EDU又一个证书站的组合拳（越权+任意用户覆盖）

原创

zkaq – MaAp1e zkaq – MaAp1e

掌控安全EDU

2026年3月25日 12:00 江西

扫码领资料

获网安教程

本文由掌控安全学院 – MaAp1e 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn  ）****

#

事件起因

继上次通过任意用户覆盖拿了两个证书站后，又遇到一次证书刚上架。这次的运气也不错，找到了一个系统，虽然资产归属存疑，但是还是通过并拿到了证书。

挖掘此漏洞的过程和各位师傅分享一下，也希望和各位师傅讨论更多的手法。

漏洞描述

越权漏洞是Web应用安全中一种常见的逻辑漏洞，其核心在于系统未对用户的操作权限进行严格校验，导致恶意用户能够访问或修改本不属于自己的资源。

任意用户覆盖漏洞是一种身份认证与访问控制缺陷，攻击者可利用该漏洞修改系统中其他用户的账户信息、权限或数据，甚至完全接管目标账户。

漏洞挖掘

【1】开局依旧注册两个账号，如下：（所以各位师傅以后在遇到能注册，但是功能点很少的站的时候也不要放弃，万一有转机呢？）

• 【账号A】ID：1138；userId：188********；姓名：何一

• 【账号B】ID：1140；userId：134********；姓名：何一一

【2】在证书站刚上架的时候，自然是奔着自己熟悉的漏洞去，先抢一个漏洞再说。个人比较喜欢挖越权，所以第一眼看到了“会员资料”四个字。

【3】使用账号A登录，点击“会员资料”，随意输入信息，如下：

【4】点击“保存资料”，发送数据包如下：修改 1138 为 1140，能够实现越权，使用账号 A 的信息去覆盖账号 B 的信息。

【5】此处的越权思路很容易，改 ID 能够验证水平越权。但是止步于此证明越权就可以了吗？当然不，还有其他的手法。有一个额外的思路，各位师傅可以看到 userId 为 188 开头的数字，简单判断 userId 是用户名，在修改 id 的同时，修改 userId 为其他值，如 1333。

【6】放行后，刷新用户 B 的账户，再次使用原本用户 B 的 134 开头的用户名进行登录，发现登录失败。重新输入账户B的账户和密码，依旧显示登录失败。此时，使用 1333 才可以重新登录账户B。点击“会员信息”可以查看到账户B所有的信息都被账户A刚刚输入的信息越权覆盖。

漏洞危害

此处漏洞本质上是由于id（即1138和1140）鉴权失效导致的越权漏洞，但是保存功能又可以通过抓包的方式修改原本不能修改的登录账户。

结合两个漏洞，从而导致原本的登录账户失效。

分享就到这里了，也希望师傅们多多出货，有其他思路也可以一起交流。

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq – MaAp1e zkaq – MaAp1e《书接上回，EDU又一个证书站的组合拳（越权+任意用户覆盖）》