文章总结： 本文分享了作者在某众测项目中挖掘的五个实战漏洞案例，助其进入季榜前十。具体包括OSS存储桶任意文件覆盖与删除、小程序验证码复用引发的短信轰炸、JS文件硬编码导致的API密钥泄露、PDFXSS以及金融项目报错页面路径泄露。文章展示了从信息收集到漏洞验证的完整过程，强调了细节观察与逻辑漏洞挖掘的重要性，为渗透测试人员提供了实用的挖洞思路与技巧。 综合评分： 82 文章分类： 渗透测试,SRC活动,实战经验,WEB安全,漏洞POC

某众测捡洞

原创

小菜鸟 小菜鸟

智动心域

2026年3月8日 01:21 山东

大晚上值班，除了看看设备告警看看数学英语很无聊，写一下之前挖的众测漏洞，也是凭这几个漏洞进了季榜前十，奖金这里给到人上人

1.OSS存储桶任意文件覆盖与删除

给了域名信息收集到一个四级域名的网站

该网站的logo放在存储桶里面

尝试文件上传，上传成功，访问成功

尝试覆盖，成功覆盖

也可以DELETE

2.小程序验证码复用加短信轰炸

playload:15666666666,1

就是手机号加一个逗号，后面随机二个字符就可以，光从0-99就可以100条短信，在加上别的字符，可以发送几百条没问题，主要是图片验证码可以复用

这里测试了50条  0-49

3.API 密钥（app_id + app_secret）泄露

这个很简单-js文件硬编码

4.pdf-xss

js文件里面看到的接口

5.金融项目报错页面也能水洞，低危

网站路径泄露+模板渲染报错

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：智动心域 小菜鸟 小菜鸟《某众测捡洞》