文章总结： 本文详述了EDU证书站的渗透实战。通过天眼查等工具挖掘边缘资产，利用参数置空技巧发现大量Base64编码数据泄露，经解码获取7万条敏感身份证信息。随后利用响应包中的凭证信息替换实现管理员越权登录，并结合上传点绕过限制触发存储型XSS。文章展示了从信息收集到漏洞利用的完整链条，强调了测试边缘资产与参数篡改的重要性。 综合评分： 85 文章分类： 渗透测试,SRC活动,实战经验,数据泄露,WEB安全

EDU某证书站从信息收集到大量信息泄露

原创

Mave Mave

狗窝集团

2026年2月15日 23:11 河北

春节快乐

狗窝集团祝大家

新春快乐✨ 祝大家：马年护网顺顺利利，0day挖到手软，CTF冠军拿到不停，漏洞无处藏，荣誉常相伴！

引言

在多数edusrc挖掘中，核心的资产大部分已经被大手子挖掘干净，如果我们想捡漏，则需要根据目标的边缘资产下手。这句话我相信大家已经听腻了。 大家可能更会想，到底什么叫边缘资产？怎么去发现边缘资产？本例给大家举一个简单的例子，大家可以一举反三，多多思考。

Part.1：如何去寻找边缘资产？

此例我们是在公众号里发现的一个资产，我们以北京大学举例；打开天眼查，我们可以看到知识产权-微信公众号里，有众多的资产可以去测试。当然，根据时间，一些公众号可能会过期无法再搜索/使用到

然后我们再打开企查查，发现比天眼查资产还要多。还有众多类似的软件，我们可以进行查漏补缺。

icp查询：这里可以查询到所有北大备案的网站以及app/小程序等

Part.2：对目标进行测试

找到资产后，由于我们没有学生的账号密码，所以我们要去观察数据包，以及去尝试有哪些功能点可以在未登录的情况下进行使用

发现了泄露管理员的手机号（但目前找不到利用方式，所以先记一下手机号）

在请求包中发现了一个uid=1，这里尝试了越权、注入等。都没有漏洞。

这种情况我们可以试一下置空参数里的内容，置空以后，发现了非常非常长的数据包，甚至bp都卡死了。而且是经过base64编码的内容。

由于数据太过于庞大，所以随便先复制一小段，去解码。

还记得我们第一步记住admin的手机号吗。我们去尝试一下。

至此拿下泄露7w sfz数据。

Part.3：对已有信息进行利用

数据包中存在类似于用户cookie的信息段，所以我们尝试登录时，是否能替换信息，达到越权登录。

内容里还有guid，经过抓包替换后。成功越权，此界面为两个管理员

上传头像这里我们可以尝试看看对上传点有没有限制

可以上传，但是无法解析。访问后直接就成下载到本地了。

既然对后缀名没有限制，那么我们可以尝试上传标签事件，看一下是否能解析确认能解析再尝试xss语句

（忘截图了，数据包还存着）

可以解析。所以上传xss

上传成功后再访问，成功弹窗（羊肉串真好吃）

最后找了一个小目标，id可以遍历，但单独不收，打包一下加进去

最后也是成功的拿下了7RANK高危。

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：狗窝集团 Mave Mave《EDU某证书站从信息收集到大量信息泄露》