文章总结： 本文分享了从微信小程序渗透到教务系统的实战案例。作者利用注册接口越权漏洞，通过枚举studentId获取身份证号。随后利用该信息发现订单信息越权访问漏洞。最终，通过收集到的身份信息以身份证重置密码的方式成功绕过认证限制，渗透进该校多个教务系统。 综合评分： 82 文章分类： 渗透测试,实战经验,WEB安全

---

如何从小程序到教务系统

原创

zkaq-xjie3637 zkaq-xjie3637

掌控安全EDU

2026年2月3日 18:08 江西

扫码领资料

获网安教程

本文由掌控安全学院 – xjie3637 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn  ）****

如果挖edu没有账号，那么就可以尝试去挖小程序，因为大部分小程序可以微信登陆，不需要账号密码登陆，那么小程序就可以作为一个入口去测试

本次案例就是一个小程序案例

一开始我也没有账号，那么将目光瞄准小程序

一开始是一个缴费系统

首先看到了界面上的培训报名功能点

点进去看看界面顺便数据包

哟？您猜怎么着？居然有注册，那这不就好办了吗，有注册比什么都好

我们点进去这个注册的功能点，看看它的数据包有什么内容

点进去以后得到了下面这个数据包

GET /api/social/regsuccess?studentId=0&openId=o2KYg5d6Xp-XfyRH55bepR6A2Onk HTTP/2

Host: xxxxx.edu.cn

Xweb_xhr: 1

Authorization: Basic eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJqdGkiOiJvMktZZzVkNlhwLVhmeVJINTViZXBSNkEyT25rIiwiaWF0IjoiMTcxMjA1OTMxMSIsIm5iZiI6IjE3MTIwNTkzMTEiLCJleHAiOiIxNzEyMDYwMzExIiwiaHR0cDovL3NjaGVtYXMubWljcm9zb2Z0LmNvbS93cy8yMDA4LzA2L2lkZW50aXR5L2NsYWltcy9leHBpcmF0aW9uIjoiMjAyNC80LzIgMjA6MTg6MzEiLCJpc3MiOiJTZWNTY2hvb2wiLCJhdWQiOiJ3ciJ9.549KCByIzlS0x4sgl5bmXBx7sxSuFsaSQp4IVbcJ1ts

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x6309092b) XWEB/9079

Content-Type: application/json

Accept: */*

Sec-Fetch-Site: cross-site

Sec-Fetch-Mode: cors

Sec-Fetch-Dest: empty

Referer: https://xxxxxxxxx

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

直接将这个数据包放到重放里发包的话会提示学员未注册

难道就要止步于此了吗？我不甘心啊

等等？我们再观察一下这个请求包的开头里面的内容，发现里面有个 studentID的传参

这不可以进行下一步测试了吗，当studentId=0 的时候，显示该学员还没注册，那么下一步很正常的思路就是遍历一下studentId 看看会不会返回敏感信息

随意更改一下studentId就出现很多敏感信息

放到爆破模块跑一下

随意跑500个

跑出来了很多身份证

越权+1

一个越权能满足的了我吗？当然满足不了

还记得主界面下面那行红色字体的提示吗？

这不又给我们带来了进一步利用的“暗示”吗

我们尝试使用在上面越权得到的身份证进行登录测试

成功登陆进小程序，拿到个人信息

敏感信息泄露+1

继续在登陆过后的小程序翻找功能点

点击查看票据后观察数据包

得到了这个数据包

GET /api/order/loadOrderInvoice?orderNumber=20230829199535 HTTP/2

Host: xxxxxx.edu.cn

Xweb_xhr: 1

Authorization: Basic eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJqdGkiOiJvMktZZzVkNlhwLVhmeVJINTViZXBSNkEyT25rIiwiaWF0IjoiMTcxMjA1OTMxMSIsIm5iZiI6IjE3MTIwNTkzMTEiLCJleHAiOiIxNzEyMDYwMzExIiwiaHR0cDovL3NjaGVtYXMubWljcm9zb2Z0LmNvbS93cy8yMDA4LzA2L2lkZW50aXR5L2NsYWltcy9leHBpcmF0aW9uIjoiMjAyNC80LzIgMjA6MTg6MzEiLCJpc3MiOiJTZWNTY2hvb2wiLCJhdWQiOiJ3ciJ9.549KCByIzlS0x4sgl5bmXBx7sxSuFsaSQp4IVbcJ1ts

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x6309092b) XWEB/9079

Content-Type: application/json

Accept: */*

Sec-Fetch-Site: cross-site

Sec-Fetch-Mode: cors

Sec-Fetch-Dest: empty

Referer:

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

观察到了orderNumber号码，那么尝试更改一下20230829199533，发包

返回包里给了我们一个图片的 url，我们尝试去访问一下这个 url 看看是什么图片

访问后发现是别人的票据，越权+1

现在我们整理一下收集到的信息很多学号身份证姓名

三要素齐全了  那么我们下一步思路就是通过这些东西去登陆该学校其他系统

鹰图搜索

直接找到很多系统，尝试去登陆。这一步很重要因为即使账号密码修改了，不是默认的也没有关系，我们可以通过身份证来修改密码，这样就达到了登陆的效果

拿到了第一个系统

界面上没有修改密码的选项，那么就查看js，找到修改密码的接口

找到这个接口后我们在 url 后面进行拼接

发现可以直接通过身份证进行密码重置，这里就可以直接重置密码进入系统，然后可以进行后续操作

后续就不继续深入讲了，反正就是找到可以通过身份证进行密码重置的系统就可以爽挖了。

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

网络安全人员必考的几本证书！

            文库｜内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-xjie3637 zkaq-xjie3637《如何从小程序到教务系统》