文章总结： 本文记录了某学校统一认证平台的渗透测试。测试者通过接口探测发现信息泄露，并访问配置页面获取包含Cookie及SQL的实时日志。利用日志泄露的Cookie，成功实现了账户接管与权限提升。该漏洞影响使用同款系统的多所院校。建议加强对配置页面的访问控制，禁止日志回显敏感会话信息，以防止数据泄露与越权访问。 综合评分： 85 文章分类： 渗透测试,WEB安全,漏洞分析

渗透测试 | 通杀？某证书站统一认证平台信息泄露到用户接管

原创

俺不是鸡哥

渗透结束-非常安全

2025年12月29日 11:15 北京

前言

这里简单记录一下某证书站统一认证平台信息泄露到用户接管的测试过程，内容已厚码，如有写的不正确的地方欢迎各位师傅指正。

收到某学校证书后，打算水篇文章

测试

登录该学校的统一认证账号（该账号由叭哥提供）简单查看统一认证的功能，利用熊猫头插件FindSomething提取静态文件存在的接口

在统一认证某接口中发现泄露历史的审批内容、姓名、学院、学号等信息

单泄露这些信息漏洞肯定过不了，于是逐步删除接口中的路径，最后删到第三个会跳转到配置页面

原接口：

/taxxxxapp/sys/xxxCenter/xxxxPush/getAllxxxxData.do?pageNumber=1&pageSize=10

现接口：

/taxxxxapp/sys/xxxCenter

测试后发现，该接口打开实时运行日志功能后可获取用户请求等信息，包括但不限于IP地址、姓名、Cookie值、请求地址、请求内容、学号和该请求执行的Sql语句

拿到Cookie值后尝试利用

利用Cookie值获取其他用户的权限，将Cookie字段的值循环到浏览器中

const cookieString = 'Cookie值内容';cookieString.split(';').forEach(cookie => {const[name, value] = cookie.trim().split('=');document.cookie= `${name}=${value}; path=/`;});console.log('Cookies已设置');

示例：

设置成功后刷新页面即可获取其他用户的权限

后续也是成功发现某老师的Cookie信息，成功获取老师的账号权限

后续

由于在资产测绘上发现很多学校均使用该统一认证，但由于配置页面需要账号登录才可以访问随放弃。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透结束-非常安全 俺不是鸡哥《渗透测试 | 通杀？某证书站统一认证平台信息泄露到用户接管》