文章总结： 本文记录了一次针对教育行业目标的渗透测试实战。攻击者从SSO入口出发，利用越权修改参数获取管理员界面及全校工号，随后结合信息泄露回显密码、系统默认弱口令及空密码漏洞，横向移动攻破教务、一卡通、后勤等多个子系统，最终获取大量师生敏感信息及多个系统管理员权限，展示了教育网因密码复用和权限校验缺失带来的严重风险。 综合评分： 80 文章分类： 渗透测试,实战经验,WEB安全,内网渗透,数据泄露

EDU某学校从学生权限到拿下多个站点

原创

zkaq-shs zkaq-shs

掌控安全EDU

2026年3月11日 12:04 江西

扫码领资料

获网安教程

本文由掌控安全学院 – shs 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn  ）****

故事的开始，是高中朋友挂科，想看看能不能找到试卷来着……

登陆他的 sso 账号，存在大量系统

点击第一个教学质量检测与评估系统，跳转登录时，存在数据包

修改 roleid 参数为 1，成功返回管理员界面

至于为什么说是管理员界面，因为好多接口没权限……

但是存在一个接口，可获取全校所有工号

点击退出登录后，存在系统单独登录接口。试了身份证后六位等常见弱口令，并没有成功登录。

这个系统暂时没有思路，返回网上办事大厅，进入下一个系统

sso 跳登录后点击个人中心，其中有 userinfo 请求回显密码 123456

退出登陆后有单独登录接口，使用上一个系统收集到的工号登录，成功登录

老师可管理自己班级用户，数据包如下，其中包括密码。

rolename 修改为管理员，可以获取所有学生老师账号密码……

大意了，应该先试试 admin/123456 的……

成功获得管理员权限，继续从网上办事大厅寻找下一个目标，进入实验室管理平台

存在默认密码 123456

由于可以使用 sso 登录，所以全站没有人修改密码。

继续从网上办事大厅选择系统，点击一卡通平台

尝试得到默认密码为身份证后六位，使用工号+收集到的身份证后六位登陆老师账号

该一卡通系统类似于 ykt.xxxx.edu.cn:8000,其中 8000-8007，8 个端口分别有 8 个不同的系统，进入 8007 端口的会议预约管理系统。

发现有一个审批人，猜测为高权限，从第一个系统获取他的工号，收集身份证

又大意了……怎么还能空密码

这个账户是超管 可获取学生信息 3w，教职工和家属信息 1w

其它几个子系统也可以登录，如考场管理，门禁系统可查看摄像头

8000 端口的主主系统用户管理处可 f12 查看密码

查看 admin 默认密码也是弱口令，在返回包中看到了 8086 端口也存在站点，尝试登录

除此之外，还有两个账号为工号的管理员账密，用其中一个成功登录 sso。

还记得第一个修改 roleid 获取管理员界面的吗，打开那个系统

不是 admin 权限，但是可以查看自己学院用户密码，那不得上空密码那哥们账户

使用一卡通空密码那个工号+默认密码，成功登录，获取 admin 权限

返回 sso，有个疫情管理功能，有两个身份选择，选择疫情管理员登录

继续通过 sso 进入下一个系统，这次 学会了，先退出登录，尝试工号+123456 登录，成功登录……

看了眼数据包，其实不用尝试，毕竟就在返回包写着……

这个登录点 password 存在 sql 注入，但是没有截图。

网上办事大厅继续选择系统，进入后勤保障系统。没错，密码 123456

没有 admin 账户，想到一卡通系统的工号了 尝试登陆

这不就权限高一点了吗

可获取用户信息，其中包括超管账户名 ，使用 123456 成功登录

继续跳转 oa 系统，感觉 oa 废弃了，没啥东西，但是来都来了，先测试 123456

工号+123456 爆破了一下，存在大量可登录账号

后续测试研究生管理是 admin123，实习系统短信验证码修改密码存在逻辑漏洞等等，基本弱口令拿下了学校对外的绝大多数系统……但是没截图，而且没找到卷子

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-shs zkaq-shs《EDU某学校从学生权限到拿下多个站点》