文章总结： 本文记录了某地市众测项目中发现的系列安全漏洞：通过小程序未授权访问接口泄露10万+用户隐私信息，利用SQL注入获取数据库密码后登录系统，弱口令进入后台发现5万条数据，最终确认存在16万条数据泄露。文章展示了从信息收集到系统入侵的完整渗透测试流程。 综合评分： 72 文章分类： 渗透测试,漏洞分析,WEB安全,数据泄露,实战经验

某地市众测从小程序未授权到sql注入再到弱口令再到拿下网站后台泄漏16W+数据泄漏实战

zkaq-nnsae86 zkaq-nnsae86

掌控安全EDU

2026年5月20日 12:05 江西

在小说阅读器读本章

去阅读

扫码领资料

获网安教程

本文由掌控安全学院 – nnsae86 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（  https://bbs.zkaq.cn  ）****

声明

本文章所分享内容均已脱敏处理且修复，仅用于网络安全相关的技术讨论和学习，注意，切勿用于违法途径，所有渗透测试都需要获取授权，违者后果自行承担，与本文章及作者无关，请谨记守法。

前言

某个地市县的众测项目，资产不多，大多为事业单位，所以测试起来不算简单，但是系统缺做的不咋样，比AI写的还要烂一点，基本可以宣告整个系统都是漏洞点。

10W信息泄漏

某个垃圾分类的小程序

点击登录发现需要手机号密码，这里系统登录口没做啥校验，所以爆破了一下，但是没有成功

反编译小程序，这里通过测试可以判断res开头的接口和thr开头的接口是可以未授权访问的

这里首先是发现一个info接口，通过反编译可以直接构造出参数，其只有一个POST请求，JSON格式的id值参数

这里直接构造一个，直接回显用户信息出来，包括手机号，姓名，物业地址，住宅地址，精确到门牌号了

直接遍历id值，初步判断是存在六七万数量的用户信息

再次通过分析小程序接口，发现还有一个searce接口，也是post传参，其两个参数，一个为query，一个为code，code参数的值为areacode值

这个areacode值就是上面我们通过info接口发现的值，如下图：

而且通过判断areacode值的规律，发现其主要是最后两位数有序的，因此可以直接遍历其值

如下图，遍历其area值的最后两位数，获取到所有小区物业的住户信息，初步判断存在四万多条信息

但是上述两个接口获取到的手机号信息通过对登录口进行测试发现一个都登录不了，这里猜测可能哪些手机号都是住户的信息，可能需要管理用户或者物业管理的账号才可以进入。

手搓SQL注入

这里也很巧，发现cycle接口，前台sql注入，我一看这不就来了嘛，正愁进入不了系统

这里通过上图获取到的数据库密码再进一步判断数据库中的表，发现存在一个sys开头的表，初步判断可能是系统相关的表

再次对表中的列进行注入，发现第三个字段为mobile字段，登录的用户名正式手机号

同样的表，第四个字段为password，这里可以判断出当前表就是存储用户密码的表

再进一步注入，成功获取到用户密码

使用用户密码和手机号直接登录小程序系统

后续还发现存在小程序的网站管理平台，同样的弱口令进入系统

发现5万多用户的信息

后续再测试，发现存在sql注入，不过是后台的，报错回显的数据也与前面的sql注入一模一样。

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

我与红队：一场网络安全实战的较量与成长

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-nnsae86 zkaq-nnsae86《某地市众测从小程序未授权到sql注入再到弱口令再到拿下网站后台泄漏16W+数据泄漏实战》