文章总结： 本文分享了某大学ERP平台的渗透测试实战。作者利用登录接口响应差异进行用户枚举，破解大量弱口令；通过抓包发现在线人数模块泄露用户MD5哈希实现会话接管；并利用个人信息接口的userCode参数越权获取管理员敏感数据。最终成功上报高危漏洞。 综合评分： 85 文章分类： 渗透测试,WEB安全,SRC活动,漏洞分析,数据泄露

回报家乡-某证书站的一次渗透测试

原创

zkaq-我会发着呆

掌控安全EDU

2025年12月24日 13:20 江西

前言

本篇文章漏洞已经修复，关键信息已打码，文章旨在分享安全测试过程中所使用的思路与分析方法，切勿对任何非授权的系统进行渗透测试！

起因

看到EDUSRC上了家乡以省命名大学的证书，让在外打拼（当牛马）的我感慨万千，必须狠狠的回报家乡，为家乡的网络安全教育事业做一份贡献。

渗透测试

直接定位到目标系统，该学校的ERP管理平台，看着是一个通用系统，后面看看能不能拿个通杀

这里看到，输入用户名之后，会提示当前登陆账号不存在，用户名枚举，必须爆破一下

使用Bp进行爆破，发现不存在的用户会返回空，存在的用户会返回用户所在单位名称，以此可以判断用户是否存在，用户名有了，接下来就可以测试一些常见的弱口令，最终也是爆破出大量用户，发现用户名和密码是相同的，直接大量弱口令漏洞

接下来就是各种功能点点点，查看历史数据包，找到了一个非常可疑的数据包，发现是主页中当前在线人数模块，竟然把在线用户的用户名和密码泄露了，密码为MD5加密，登陆密码正好也进行了MD5加密，使用登陆数据包替换密码，直接接管全部在线用户

这里再来到个人信息处，发现存在userCode参数，参数后跟的是用户名，直接遍历一手刚刚获取到的用户名，发现依旧存在垂直越权，可以获取到其他用户（包括领导）的全部个人信息（用户名、密码、身份证号、手机号等）

最后也是凭借大量弱口令和两个垂直越权，成功拿到了高危，兑换证书，坐等发货，此系统是通用系统，但是搜索出来用的学校不多，但也找到了两个学校，如法炮制提交了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-我会发着呆《回报家乡-某证书站的一次渗透测试》