文章总结： 本文讲述针对高中微信小程序的渗透测试，发现校友查询接口存在越权漏洞，修改ID参数可遍历所有用户敏感信息。作者利用测绘引擎根据页面特征检索使用该第三方系统的其他学校资产，结合httpx批量验证，证实漏洞普遍存在，实现了通杀效果。 综合评分： 90 文章分类： 渗透测试,WEB安全,漏洞分析,SRC活动

某通杀漏洞思路分享

迪哥讲事

2026年2月3日 11:00 四川

以下文章来源于陌笙不太懂安全 ，作者陌笙

陌笙不太懂安全 .

web安全知识分享,渗透测试,SRC,CTF,等优质内容分享学习！

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号陌笙不太懂安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉，谢谢！

前言

想出洞就得找脆弱资产，这次我们直接中学起手。

漏洞挖掘

通过一番测试锁定这个小程序。

点击小程序进行登录,挂上bp,让流量都过一下。

直接进行授权一键登录

（我这里是已认证，因为我是挖完写的文章，如果第一次登录，需要输入姓名,sfz,班级之类的信息进行认证,这里没有限制,随便输入信息就能认证成功）

认证成功之后来到首页,开始对功能进行测试,一项一项的测就行，我这里直接写漏洞点

点击校友查询

会跳转到校友查询这里

点击同届校友,会直接出现同届的同学

这里随便点击一个进行bp拦截，进行观察，可以返回这个人的所有信息

包括三要素等等，且看到经常出现越权的id参数

直接丢到repeater模块修改member_id进行尝试

果然可以越权，返回其他人的信息，直接丢到intruder模块进行遍历

可以成功获取系统内所有用户的敏感信息。

其他功能点也有东西,接口不一样不在进行说明。

这里就要想了，一个高中可能有自己的系统吗？

我是没见过，所以这系统肯定是第三方公司开发的。

既然是第三方公司开发的，又不可能只卖给一个学校，

这里就可以扩展一下，看有没有其他资产。

因为是小程序，尝试检索一下关键字，看看有没有什么相关资产

看着差不多，其实都不是。

然后直接把小程序转化为web，通过web+资产测绘找资产。

复制小程序网址,浏览器访问,看到了管理后台。

那就先看看后台有没有洞，测了一下弱口令啥的，没成功，

不能直接爆破，有滑动验证码，把小程序登录成功的数据包，进行替换，没反应，提示权限不够。

看看接口，直接跑了一下没东西，我直接拿到小程序登录后数据包跑，依旧空军

发现admin-api和越权数据包app-api相似直接替换，那就把admin-api都替换为app-api再跑一遍依旧空军

根据上传接口构造数据包

真是一次完美的测试！！！

继续回归正题找资产。

从登录页面提取一些内容,title,body之类的放到测绘引擎里面瞅瞅。

点了几个发现有一样的，后台管理页面，说明确实多个学校再用

在通过hunter和quake都找一下资产，hunter这里可以配合公司备案找。

后续通过ip，host,之类找了一些，为了全面，将所有资产导出，进行去重汇总，丢给httpx进行探活截图，不要一个一个看，太耗费时间了。

httpx使用方法

陌笙不太懂安全，公众号：陌笙不太懂安全渗透测试漏洞挖掘如何轻松找到脆弱资产

直接对一样的登录框进行打开查看就行，拿着打开后资产里面的学校名字

回到小程序进行测试，一测一个准,这里只做资产查找思路分享。

后面继续观察探活结果，还有意外的惊喜。

跑路。

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

#

如何利用ai辅助挖漏洞

#

如何在移动端抓包-下

#

如何绕过签名校验

#

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事 《某通杀漏洞思路分享》