文章总结： 本文记录了某大学订餐小程序的漏洞挖掘过程。作者通过测试发现云存储桶存在列目录及文件覆盖漏洞，利用修改ID参数实现了越权删除他人地址。随后在存储桶日志文件中获取管理员明文密码，登录后台后利用AI工具辅助挖掘出SQL注入漏洞。最终因资产归属问题得分较低。 综合评分： 85 文章分类： SRC活动,WEB安全,渗透测试,实战经验

记一次edusrc小程序漏洞挖掘

chenzi

OnePanda-Sec

2026年1月4日 13:12 湖北

招新

OnePanda-Sec

-招新说明-

**招新要求

· 热爱网络安全，喜欢CTF

· 拥有CTF比赛经验，有较好比赛成绩的

· 乐于奉献、热爱分享，愿意提升   自己同时帮助他人

· 时间允许参加各类赛事，服从战队管理与安排

· 各类比赛获奖者、能力出众者视情况考量

· 未参与其他高校联队

· 大一同学视情况放宽资历要求**

联系方式

发送简历于邮箱

· 简历邮箱：[email protected]

聘

资产收集到一个大学的订餐小程序，不过因为归属问题导致分给的不多，打法都比较基础，感觉适合给新手看看，大佬勿喷

刚打开小程序看了眼流量包

加载图片的时候，是从云存储桶那边加载出来的，而且看这个样子是可以列桶的

这种可以列桶的，就可以直接去访问然后拼接一下key，看看桶里是啥玩意

直接在url后面拼接上key即可，这里拼接看看里面是啥，看文件命名大概是人脸照片

这种在企业src的话是收的，不过在edu好像不收，我也不是很清楚，不过可以列桶的话，就可以试试能不能文件覆盖，edu是收文件覆盖的，这个站也有文件覆盖。

我这拿之前的打的一个证书站的报告来演示一下（问就是太懒了，反正操作都差不多的）

先在桶的位置下用PUT方法写一个文件

然后去浏览器看看，这里已经写上去了key是1.html

现在再去写一个名字一样的文件，然后内容不一样，看看能不能覆盖

《Etag》里面的值发生了改变，名字是一样的，确定覆盖成功

这个文件覆盖在edu里面我记得是中危，不管那么多了反正现在刚开始就捡了个洞，接着打看看还有没有别的洞

找到个添加外卖地址的地方，随便添加了两个，发现添加地址后的地址是用id的来表示，这种情况就可以尝试有没有越权了（具体就是换个账号，然后去删除外卖地址，通过修改id去试试能不能越权删除别人的地址）

账号1的地址：

然后我这里是用模拟器拿小号去再开了个小程序，然后在第二个号上删除外卖地址，将第二个号的id=34改为33（也就是第一个号的外卖地址）

两个号token是不同的证明是两个不同的号（我是两个微信同时登陆的），响应包显示删除成功，这个时候再切换回第一个号看看删掉了没有。

这个时候再切换回第一个号，可以看见已经删除了，证明是存在水平越权删除别人的外卖地址的，第二个中危到手了（这个企业src是算中危收的，edu的话不清楚，如果收的话也是中危）

后续又在小程序逛了一下，没找到其他洞了（可能是我太菜了），于是直接去找后台管理界面（其实这里主要是想去测试后台管理有没有弱口令，因为他这个站用的是云存储桶，我想着后台里面可能有ak/sk，找到的话就是一个高危，而且还有一种可能，就是小程序的图片是传到云存储桶的，如果后台的是传在本地的话，那么可以去尝试文件上传啥的去getshell，反正能测的地方有很多，师傅们挖洞的时候可以把思路放开点。）还是那句话，小程序就是Web网站套了一个壳而已

找到了后台的登陆地址，这种url是xxx/#/xxx的，这种有/#/的是前后端分离的网站，这种前后端分离的站挺多未授权的，可以用熊猫头或者去看看前端js能不能打出未授权。

如果网站用了vue的话，我右上角的那个库洛米头像的插件也可以去试试，这个是专门清除vue路由守卫的

下载地址：https://github.com/Ad1euDa1e/VueCrack

不过很可惜，这个地方没有未授权，尝试一下对抗登陆框吧。

这个地方用不存在的用户去登陆会有提示，那么现在就可以去挂个弱口令去爆破用户名，再通过爆破出来的用户名去爆破密码

不过这个站有对接口频率有限制，我打的时候直接说接口频率限制了，然后把ip封了。

那会我准备跑路了，因为我现在连用户名都不知道，就在准备走的时候我又看了一眼那个存储桶，我发现他的命名格式好像有点说法

师傅们能看出来嘛？最后/后面的好像是手机号，我那会在想，这个站的登陆账号会不会是手机号，然后把里面的手机号提取了一波，换了个ip又去手动测了一波

呵呵，结果手动跑测了半天，全部都是用户不存在，然后又翻了一下存储桶，这个站的转折点来了

我找到一些压缩包，我那时候在想，什么压缩包会放到存储桶里面，好奇心驱使下我下了一个zip打算来看看（因为我看了下，有100多个压缩包，而且命名格式像时间戳，我感觉是一些登陆信息或者设备开机信息啥的）

Cmd.log?

日志文件？

解压出来看看

我嘞个豆阿，这个日志是系统的启动日志，然后还把登陆的用户和密码给记录出来了。我当时就是怀着试试看的心态去登陆了一下

那还说啥，管理员进来了（中危加1）

那都干进后台了还说啥，网安猴子启动点点点。

我一开始是想找配置文件，但是没有找到，我就怀疑是不是这个管理员等级不够高，只有系统管理员才有权限去配置，于是去角色管理里面翻了半天，都没有找到系统管理员。我也不清楚是不是没有，不过无所谓吧，因为我在这里面看见了很多查询选项

本着有查询就去测sql的原则

那很好了朋友，mysql报错，不过我是个懒鬼，我对于sql真的是懒的手测，这就导致我挖了很久的src（sql类型的报告好像有100多个），到现在我都不是很深入理解sql注入。那有人要问了，你不会sql你100多个sql怎么挖的。

懂得都懂，直接把请求包跟响应包丢给无问AI，让ai去看吧，我用的N1模型，思考要的时间有点多（无问AI记得我的广告费）

喝了杯水回来AI已经给出payload了

不亏是我每个月30块开的会员，好用。

edu一个站的sql说是收三个，那就注3个交报告就好了

那打到这就结束了，一个后台管理员，一个文件覆盖，一个越权，三个sql，其实还有一个是越权添加管理员，不管要求过于苛刻，而且我觉得那个也没啥好写的，就没写了，然后这个系统可能是资产归属的问题，导致降分严重，最后也是只拿下了14分，还有一个洞有2分，但是隔着太远了，期间还挖了别的洞，我就不截了

 OnePandaSec团队交流群，欢迎网络安全爱好者加入

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnePanda-Sec chenzi《记一次edusrc小程序漏洞挖掘》