文章总结： 本文记录了对某教育类小程序的渗透测试，最终获11分。作者发现接口返回全站敏感数据与Token，接管用户并定位后台。通过弱口令爆破进入后台，利用头像上传点获取shell，并发现注册接口存在越权，可构造参数实现任意管理员注册。文章演示了从信息泄露到权限提升的完整渗透链路。 综合评分： 86 文章分类： 渗透测试,WEB安全,SRC活动,漏洞分析

edu小程序渗透，轻松拿下11rank

chenzi

OnePanda-Sec

2026年1月7日 10:16 湖北

招新

OnePanda-Sec

-招新说明-

**招新要求

· 热爱网络安全，喜欢CTF

· 拥有CTF比赛经验，有较好比赛成绩的

· 乐于奉献、热爱分享，愿意提升   自己同时帮助他人

· 时间允许参加各类赛事，服从战队管理与安排

· 各类比赛获奖者、能力出众者视情况考量

· 未参与其他高校联队

· 大一同学视情况放宽资历要求**

联系方式

发送简历于邮箱

· 简历邮箱：[email protected]

聘

信息收集找到一个小程序，这个站也是捡漏了11分

有注册功能，直接注册一个号进去试试

注册数据包如下（后面有用）

注册进来后可以看见挺多功能的，直接化身网安猴子点点点。其实个人在挖掘漏洞的时候如果可以进入到后台，比较喜欢多去找一些有用户交换、带有上传点的地方（像报修系统会需要上传报修地方的图片）已经带有用户身份信息的地方去测试

顺便多说一下为什么测这些地方：

（1）用户交换的地方可能会存在sql注入和越权漏洞。举个栗子：像一些留言的地方，用户发布了留言，然后是一个留言一个id，如果id没有做严格的校验，就会非常容易出现越权删除留言。还有那种商城，用户保存的收件地址也是一个地址一个id，那么就很容易出现修改id去修改别的用户的收件地址

（2）找上传点：现在其实也有文件上传但是相较于之前已经少了很多了，但是现在很多企业都用云存储桶了，如果使用了云存储桶，上传之后又返回了存储桶的地址的话，那么又多了个可以测试的地方。主要是很多存储桶不安全的配置，导致桶里的信息泄露，或者子域名被接管。

好了回归小程序测试

在这个小组训练的地方，加入别人的小组是需要口令的，其实那会只是想测一下如果乱填口令然后修改返回包能不能直接加入别人小组，不过在回头看历史数据包的时候，发现有一个接口直接把所有小组和口令全部以明文的形式返回回来了。然后在这个页面又发现了有个一级管理员创建的小组（在最下面，截图没截好不好意思）

这个纯属是后台开发的锅，edu单交这种洞肯定危害不足的，不过现在可以加入小组了，加进去看看还有没有别的功能。

加入小组后发现有个邀请功能

点击邀请功能看看。其实到这里基本可以确定这个小程序做的很烂了，这些人都不是好友，按正常的开发逻辑，邀请应该只能邀请好友，他直接把全站用户列出来了，回去看看数据包，看看数据包里有没有这些用户的敏感信息

看完数据包确实很离谱了，他直接把用户的登陆账户密码全返回了，然后还有token（厚码原谅），这个站是通过token鉴权的，你们看请求包就知道了，现在又有了全站的token，那只需要更换token就可以修改别的用户信息，到这里已经差不多是接管全站了，但是还是没有真正拿到管理员权限。

思路打开，我们在一开始已经看见了，这个站是有管理员的，那就肯定是存在后台管理网站的，现在我们直接用浏览器去访问请求包中的网站，说白了小程序就是Web网站套一个壳罢了。

访问后台网站一片空白，这种就是没有去加跳转路由，无所谓的，直接dir去扫一下就ok了如果怕被waf封的话可以自己手动去拼接一些参加的后台路径（admin、home、login、user等等），扫不出来的话就用鹰图去找这个网站，有些后台网站需要在地址后面加上端口号，反正找后台管理网站的方法基本都是这样。

最后也是成功扫描出来了后台管理地址。在原来的地址后面拼接个login就是登陆入口了

前面通过那个返回包，已经拿到了管理员的账号和加密后的密码。尝试解密可惜没解密出来，不过后台的登陆点密码没有做加密，直接bp跑一波弱口令试试，因为在前面看用户的时候发现有一级管理员、二级管理员还有三级管理员，跑三个号应该不至于跑不出来。这里多嘴一句，如果后台的登陆点对密码做了加密，可以尝试直接把前面的密文替换进去，也是个小思路吧。

也是狗运了一波，弱口令直接跑出来了。

到此成功拿到管理员权限，因为平时打攻防的习惯，拿到管理员后习惯去用户管理界面去加一个管理用户，防止被应急。

在用户管理界面发现可以去修改用户的头像，那就可以去尝试一下文件上传了，因为我感觉后台管理系统相较于前台是没有那么严格的。

这里也是运气好，后台没有做限制并且可以解析，那就可以getshell了，不过edu还是点到为止就好，不传马了

后续在后台管理界面发现可以给用户分配权限，那给自己分配一个管理员权限看看。

我这里给自己分配的是2级权限，在数据包中发现了一个level=2，到这我就猜测这个level会不会是用户权限的标志0是普通用户，1是一级管理员，2是二级管理员。还记得最开始的地方是可以注册的吗？思路打开，如果我们在注册的时候，在请求包中加一个level=2可不可以直接注册为管理员？

再去重新注册一个号，在请求包中加入level=2，响应包显示是注册成功了

我们再返回后台管理界面去登陆一下验证一下，先看普通用户在这里登陆，会提示非管理用户无法登陆

我们再拿刚刚越权注册的管理员用户去试试

成功登陆进来了，这也证明了存在任意管理员注册漏洞

小程序里面的头像也存在文件上传，不过很可惜重复了。其他的地方是都通过了的，最后也是拿下11分。

俺平时不咋写这种挖洞记录，如果有写的不正确的地方或者没有表达清楚的地方还望各位师傅指正。

OnePandaSec团队交流群，欢迎网络安全爱好者加入

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnePanda-Sec chenzi《edu小程序渗透，轻松拿下11rank》