文章总结： 本文详细记录了一次对高校图书馆服务平台的授权渗透测试。测试发现，该平台存在严重的批量敏感信息泄露和SQL注入风险。攻击者可通过构造特定请求，非法获取读者的密码、身份证号、借阅记录等10类核心敏感信息。此外，近源测试还发现借阅机管理平台存在弱口令及数据库凭据明文存储等问题，整改建议包括启用强密码策略、加密敏感配置及限制数据库权限等。 综合评分： 85 文章分类： 渗透测试,WEB安全,内网渗透,漏洞分析,应急响应

---

EDU攻防实战：对山东某高校的线下渗透+近源复盘②

原创

Thanatos Thanatos

星宇Sec

2026年3月29日 18:41 山东

本次受邀加入专项安全测试团队，前往济南某高校开展线下内网渗透授权演练，全程在学校安全部门监督下合规推进，所有操作均获得校方正式授权，无任何违规越界行为。

本次渗透测试突破常规内网检测范围，从校内内网打点切入，逐步横向拓展、纵向深挖，最终成功突破外网边界，不仅发现该校智慧安防平台等核心系统的大量高危漏洞，更意外排查出外网关联数据库中泄露了其他学校的相关敏感数据，隐患范围远超预期。

为保护校方信息安全及相关敏感数据，本文所涉及的校园内网拓扑、设备信息、漏洞详情等全部进行脱敏处理，渗透过程中临时下载的各类数据，已在测试结束后第一时间全部彻底删除，不留存任何相关缓存及备份。

考虑到内容的完整性和可读性，以下直接附上本次线下内网渗透的脱敏报告（部分内容由AI整理）

---

济南某高校图书馆服务平台漏洞报告（脱敏版）

1. 测试说明

• 测试性质：经授权安全测试
• 测试对象：济南某高校图书馆服务平台
• 目标地址：https://10.x.x.x（已脱敏）
• 涉及产品：XXXXXX有限公司XX图书馆服务平台
• 涉及版本：VX.X.X.X 及以下版本（需厂商进一步确认）

2. 风险概述

测试发现该平台存在批量敏感信息泄露和SQL注入风险。核心问题是后端接口对输入参数过滤不足，导致攻击者可通过构造异常请求绕过正常查询边界，读取大量读者数据；在部分接口中还可触发 SQL 注入行为，进一步放大数据库被控制的风险。另外近源测试结果也发现了敏感信息泄露等漏洞。

3. 影响范围

• 济南某大学当前部署实例
• XXXXXX有限公司XX图书馆服务平台 VX.X.X.X 及以下版本其他机构（存在同类风险可能）

4. 基础复现路径

1. 访问登录页：https://10.x.x.x/XXXXX/login?redirect=%2Fhome。
2. 尝试使用弱口令及社工字典进行账号登录。
3. 进入“近期工作 -> 流通业务”。
4. 点击“读者信息查询”，进入目标功能页并开启抓包工具（Burp Suite）。

step-01-login-page

step-02-circulation-module

step-03-reader-query-page

5. 信息泄露漏洞明细

以下 10 个接口的复现逻辑高度相似：先触发正常查询请求，再将请求体中的 operator 参数追加单引号（如 = 改为 ='，<= 改为 <='），重放后可返回超出授权范围的数据。

5.1 漏洞 1：读者基础信息泄露

• 接口：/XXXXX/XXX/patron_info_query/all/list
• 影响：返回约 18217 条记录，字段包含用户 ID、密码、姓名、学工号、身份证号等高敏感信息。

leak-01-request

leak-01-response

5.2 漏洞 2：书刊借阅记录泄露

• 接口：/XXXXX/XXX/patron_info_query/export/loan/normal/list
• 影响：可批量获取借阅记录等敏感业务数据。

leak-02-request

leak-02-response

5.3 漏洞 3：借阅超期记录泄露

• 接口：/XXXXX/XXX/patron_info_query/export/loan/overdue/list
• 影响：可批量获取超期借阅数据（单条记录字段较多）。

leak-03-request

leak-03-response

5.4 漏洞 4：借阅历史记录泄露

• 接口：/XXXXX/XXX/patron_info_query/export/loan/history/list
• 影响：可读取完整历史借阅信息。

leak-04-request

leak-04-response

5.5 漏洞 5：滞纳金信息泄露

• 接口：/XXXXX/XXX/patron_info_query/export/fine/list
• 影响：可批量读取滞纳金相关信息。

leak-05-request

leak-05-response

5.6 漏洞 6：预约信息泄露

• 接口：/XXXXX/XXX/patron_info_query/export/preg/list
• 影响：可批量读取书刊预约信息。

leak-06-request

leak-06-response

5.7 漏洞 7：预约到馆信息泄露

• 接口：/XXXXX/XXX/patron_info_query/export/preg/arrival/list
• 影响：可批量读取预约到馆明细。

leak-07-request

leak-07-response

5.8 漏洞 8：账目清单信息泄露

• 接口：/XXXXX/XXX/feetrans/search
• 影响：可读取读者账目流水等数据。

leak-08-request

leak-08-response

5.9 漏洞 9：积分明细泄露

• 接口：/XXXXX/XXX/patron_info_query/export/credit/list
• 影响：可批量读取积分相关信息。

leak-09-request

leak-09-response

5.10 漏洞 10：荐读明细泄露

• 接口：/XXXXX/XXX/patron_info_query/export/suggest/list
• 影响：可批量读取荐读明细。

leak-10-request

leak-10-response

6. SQL 注入漏洞验证

• 接口：/XXXXX/XXX/feetrans/search
• 请求包：

POST /XXXXX/XXX/feetrans/search HTTP/2
Host: 10.x.x.x
Cookie: XXX.session=[REDACTED]
Content-Type: application/json

{"sort":"createdDate","direction":"asc","pageSize":20,"page":1,"items":[{"logic":0,"field":"feeTrans.uid","operator":"=","values":[13]}]}

• 验证命令：

python sqlmap.py --threads 10 --random-agent -r 1.txt --dbs --is-dba --users --passwords --banner

• 验证结果摘要：

web application technology: Nginx
back-end DBMS: MySQL >= 5.0.12
banner: '8.0.29'
current user is DBA: True

• SQLMap 输出显示可触发基于时间的盲注，并已枚举出多个数据库账户（含高权限账户），风险等级为高危。

sqli-sqlmap-result

• 示例 payload（脱敏整理）：

Parameter: JSON field ((custom) POST)
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: {"items":[{"field":"feeTrans.uid AND (SELECT 1 FROM (SELECT(SLEEP(5)))a)","operator":"=","values":[13]}]}

7. 其他疑似风险点

“违章情况、遗失赔偿、书刊委托、委托到馆”等模块因当前测试数据不足，暂未完成有效复现。结合接口命名与路径规律，建议将其纳入同类参数注入与越权专项复测。

8. 漏洞总结

1. 敏感信息泄露面广：读者基础信息、借阅、罚款、积分等多个核心模块均可被批量查询。
2. SQL 注入风险高：已验证时间盲注特征，且可触达高权限数据库上下文。
3. 影响范围可能扩散：若其他单位使用同版本组件，存在出现同类漏洞的可能性。

9. 近源设备安全风险

在图书馆现场近源测试中，发现借阅机配套借阅软件的管理平台存在弱口令问题。使用弱口令登录后，可直接进入管理后台并查看关键配置项（见现场截图），其中包括借阅机对应的数据库地址、端口、数据库名、登录用户名和密码等敏感信息。

1

进一步对借阅软件进行分析后发现，大量敏感配置被明文写入 XML 配置文件，未进行加密或有效访问控制。该问题会显著降低攻击门槛：一旦设备被近距离接触、短时控制或通过运维链路被访问，攻击者可直接提取配置并利用数据库凭据进行横向访问。

9.1 风险影响

1. 管理后台弱口令可导致未授权人员进入设备管理界面。
2. 数据库连接信息明文可见，存在凭据泄露和数据库被进一步利用的风险。
3. 明文 XML 配置可被快速复制和离线分析，导致长期凭据暴露与批量扩散风险。

9.2 整改建议

1. 立即停用默认/弱口令账号，启用高强度密码策略与定期轮换机制。
2. 管理平台增加登录失败锁定、验证码、来源网段限制和最小权限访问控制。
3. 将配置文件中的凭据改为加密存储，并引入密钥托管机制，避免明文落盘。
4. 数据库账号按最小权限重建，禁止使用高权限通用账号，必要时按设备分配独立凭据。
5. 对借阅机终端开展基线加固与介质访问控制，减少近源接触后的配置提取风险。

其他近源测试发现的漏洞将于后续专项文章中继续披露。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星宇Sec Thanatos Thanatos《EDU攻防实战：对山东某高校的线下渗透+近源复盘②》