文章总结： 本文介绍某小程序安全测试过程，发现多处漏洞：一是校友企业接口过度返回数据，导致姓名、手机号等敏感信息泄露；二是头像上传功能未限制文件后缀，成功上传HTML文件；三是上传PHP文件被服务器解析，证实存在远程代码执行漏洞。建议严格校验上传文件类型并过滤接口返回数据。 综合评分： 80 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验

某小程序rce

迪哥讲事

2026年1月27日 09:01 四川

以下文章来源于陌笙不太懂安全 ，作者陌笙

陌笙不太懂安全 .

web安全知识分享,渗透测试,SRC,CTF,等优质内容分享学习！

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号陌笙不太懂安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉，谢谢！

漏洞挖掘

web挖不动了,可以瞅瞅小程序，很多中学的小程序还是很脆的，因为多数都支持一键登录。。。信息收集之后，看到了这个小程序，进去看看功能。

点击小程序进行登录，登录之后把对应的功能都看看

测试之后发现这个校友企业存在问题

点击校友企业

会出现校友创建的公司，注意这里直接返回了，校友的名字

记得之前看文章的时候，看到过，前端只是渲染了后端返回数据的一部分

所以退出到上一个页面，点击校友企业进行抓包

成功返回了，校友的敏感信息，手机号，sfz啥的

非常合理，继续测试

来到小程序最容易出现问题的地方，上传头像处的xss

点击个人信息

点击头像进行上传，随便选择一张图片，进行上传抓包

将数据包后缀修改为.html进行上传测试

没有做限制，访问上传成功之后返回的路径，又水一个

本来都打算跑路了，后面想了一下既然连个waf都没有

大胆点尝试一下getshell

观察上传数据包，发现是php写的，修改后缀为php然后

内容写一个phpinfo();不需要写一句话，证明解析即可。

发送数据包成功返回上传路径

进行访问尝试，成功解析

后面发现图库啥的，只要能上传东西的地方，都没有做限制，直接写报告，提交跑路。。

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

#

如何利用ai辅助挖漏洞

#

如何在移动端抓包-下

#

如何绕过签名校验

#

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事 《某小程序rce》