文章总结： 本文分享了针对医院站点的渗透测试实战经验。核心内容涵盖利用Actuator解密ShiroKey、通过参数污染绕过WAF进行XSS攻击、小程序越权遍历与ID替换、短信轰炸AES解密绕过及支付逻辑漏洞挖掘。文章提供了具体的Payload构造与绕过思路，具有较高实战参考价值。 综合评分： 88 文章分类： 渗透测试,实战经验,WEB安全,SRC活动,漏洞分析

挖洞就和喝水一样简单

private null

轩公子谈技术

2026年1月13日 18:03 江苏

是的，你没听错，我只用了一分钟，就拿到了 shell。

这一看就是 shiro 反序列化，但是字典里没爆破出来。

但是，他有 actuator，直接手动添加

然后下载 heapdump 解密，就能发现隐藏里的 key 了

你以为文章就结束了吗，no no no

这才刚开始，上面其实是引流的，是另一个项目🀄️的漏洞。

前阵子肝了个超磨人的项目，整整一个多月跟 380 个医院站点死磕，那酸爽直接拉满双层暴击！一边被 WAF 追着拦截，一边还被系统自动拉黑，全程主打一个反复切飞行模式的极限操作，主打一个手速与网速的双重博弈😂

这两个项目一对比发现，除了医院这类站点（金融除外），其他普通项目干起来简直就是降维打击，轻松到飞起～

其实医院的站也没什么高端的漏洞，也就是捡漏别人没发现的top10 以及比较骚的思路。

其中占比较高的是反射 xss ，存储 xss，和越权漏洞。

反射 xss 针对某些 waf，是可以通过参数污染进行绕过。

比如key=

直接执行会被拦截，

然后就是加参数，a=12&b=232%c=23&d=2312 十个不够就加 20 个，还不够就一直加

或者是看看拦截的参数多不多，promot，alert，confirm，前三个不行，最后一个大概率会多一点console.log。

如果都不行，那么只能尝试其他的标签和思路，比如加载 js，跳转链接，或者 dom 修改元素等等，毕竟又不是攻防，眼里除了 shell，这些也都是洞。不然被通报了，就老实了。

AppLock=zb4w3&_VIEWSTATEENCRYPTED=uy2a5&allowfiles=xk1h9&c=hfzn2&callback=p17u0&cmdButtons=trwg1&div=voia2&email=h6hq5&enddate=d7157&g_PageMainMenuID=x8l74&h_packageMode=zhm34&h_zlk=avsp2&jpg=dm0g6&l=d4fm5&mode=%3C/script%3E%3Cmeta%20http-equiv=%22refresh%22%20content=%223;url=https://www.baidu.com%22%3EoImg=c5830&oTDFlag=bzfx7&r=noz70&segs=pf9p6&textarea=flgl2

案例 1：

这一个站防的太厉害了，最终构造重定向来进行验证

案例 2：

这是小程序里的，修改用户名信息，waf + 字符长度限制，也是拦截了弹窗

最终输入”>,成功闭合。

案例 3：

医院官网

和案例 1一样，参数污染，alert 弹窗，但是后面发现，waf 只拦了 alert，prompt 可正常弹窗

16=lckx6&50=%3C/script%3E%3Csvg%20onload=alert(1)%3E//&Id=13769&action=htex8&c=o8mp8&cat=q7z84&categoryid=i5sr7&email=iil81&enddate=un3f4&jsonp=ixi95&keywords=ai6l9&list_type=q2gb3&mod=b1jt4&month=bigf0&mtt=77&page=zqd26&redirect=ml7o1®ion=xzhg5&tid=iun37&token=x9549&uid=q4zd8&url=w7w87

存储 xss 就是提取 js 的各种接口，构造上传点，jsp 这种肯定是失败的，只能 svg，xml，html，pdf xss 了。

案例 1

案例 2

案例 3

越权的话，医院的小程序多一点，明文的 id 可以遍历

如果是 uuid或sha256，账号实名认证是固定的，可以用同事的 id，这样两个账号的 id 可以互相替换，也可以尝试测试。

案例 1

遍历 code

案例 2

替换 friendid

很多医院都有住院部小程序，食堂小程序，这种一般需要住院人姓名和身份证号，或者手机号互相组合。

爆破是肯定不得行，但是抖音上会有很多意识淡薄的人发自己的病例，直接搜对应的医院就能看到很多。虽然说不道德吧

还有短信轰炸漏洞，其实小程序加解密大多数都是简单的，一般都是 aes cbc 128 位。

反编译后直接在 js 里搜索 aes，decrypt，encrypt 就能找到 key。

然后解密，逗号，空格，冒号，分号，不行的话就直接并发

案例 1

最后就是 src 中，常说的支付逻辑漏洞。

没想到我竟然遇到了，积分兑换奖品，抓包修改积分为 0，直接提交就能白嫖了。

感觉也没什么东西，就是大概的复盘总结一下经验吧。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：轩公子谈技术 private null《挖洞就和喝水一样简单》