文章总结： 本文记录了一次针对小程序资产的渗透实战。作者在短信接口发现SQL注入，绕过签名与空格过滤实现盲注；随后挖掘出密码重置功能的越权漏洞；最终通过目录扫描发现源码备份泄露MSSQL配置，利用数据库外连获取服务器文件权限。文章建议重视配置泄露风险，并利用数据库默认外连特性拓展攻击面。 综合评分： 84 文章分类： 渗透测试,实战经验,WEB安全,漏洞分析

记一次稀缺资产逐步直逼系统的文件权限

原创

夜子 夜子

夜子安全Sec

2026年3月12日 20:46 广西

郑重声明

本公众号文章源自作者日常积累及授权转载，未经许可严禁转载，转载需联系开白。文中内容仅限学习交流，严禁用于商业及非法用途，涉及网络安全相关未经授权不得测试，违规使用后果自负，与作者及本号无关 。

在针对一个资产的信息收集时，是在渗透过程中非常重要且耗费时间的一个过程，信息收集的收集到的资产广面决定了上限，剩下的就靠自身的技术层面去弥补。

在前期通过hunter的备案查询，以及子域名的挖掘发现在web上暴露的资产面特别稀少。可以看到测绘资产上只有主站并且都是云资产，通过挖掘子域名发现，只发现存在邮箱登录的网站，访问后也是一个通用产品，估计没什么东西。为了追求效率，我们直接观看微信的小程序服务号公众号等资产。首要看小程序>服务号>公众号，看看这些服务存不存在网站资产再看有什么功能点

发现存在单个小程序，无其他资产，公众号以及服务号只有推文再无任何的资产了，我们进入小程序。直接发现存在手机的短信验证码登录的功能点。

放包发现这边直接存在错误，可能后端的短信接口没做完善或者给关闭了，那么这边的短信爆破以及短信轰炸，短信回显，短信复用，万能短信等的一些思路都可以抛弃了。并且从数据包中存在sign值，存在签名就麻烦了，需要进行一个小程序的反编译的调试，从而进行加密sign值修改

通过无影工具箱反编译后，翻了资源发现不存在js文件等，搞毛。直接死马当活马医，先尝试一下SQL注入，给手机号的phone参数加个单引号发现有奇葩的地方回显

漏洞一：

通过修改的原始的数据后，发现确实sign值匹配不上，但是返回包中加密后的sign值返回了，我们进行一个替换，返回的数据跟原先的数据包有差异，这里直接显示参数错误，根据返回包中的Server是IIS以及ASP.NET的服务看得出这个站点的数据库十有八九是MSSQL。我们试试闭合单引号看看返回包的信息会不会变成如上信息一样。

发现两个单引号回显如上，证明存在SQL注入。进行构造payload闭合，发现存在空格过滤利用+、%20以及%2b等符号进行拼接直接访问空白。后续发现用%0a可以进行一个绕过限制

后续发现substring、ascii等截取的函数利用不了，利用该payload.可以获取到第一个字母是s，估测是sa。可以根据布尔盲注判断得出

‘%0aOR%0aleft(system_user,1)=’s

漏洞二：

随机注册一个账号进入，发现可以上传头像，但是文件修改后缀上传发现存在服务器上的文件还是会被强制被改成png后缀，目前没发现存在文件上传漏洞。

我们尝试进行访问图片地址，并且进行目录的递减，发现存在很多其他用户上传的图片文件，他会把账号上传的图片文件名修改成账号本身的手机号。这个可以进行一个收集，没准会用到。

抓包修改密码的数据包，发现数据包既没有cookie鉴权也没有token，jwt等字样，推测直接是用手机号进行一个密码重置修改。那么是存在越权的，将手机号进行替换，密码直接随便写。

还是老样子，修改后还是会把sign返回，也进行一个替换。成功修改成功,接着我们就进行密码登录，进行该学生的账号

漏洞三：

我们将小程序中的host放入web中访问，发现不存在后台登录的页面以及ui，通过目录的扫描得出了rar的压缩包文件还有些日志文件。简单地看了一下log里的文件，发现没什么敏感信息，大部分是蓝牙连接的信息反馈。我们去看看rar文件里面有什么东西，有些时候，一些开发喜欢把源码压缩包放到自己的服务器上，看了data.rar压缩包里面没什么东西，一堆乱码。

下载出web.rar发现里面只存在webconfig，可能会泄露一些配置信息，我打开发现里面有MSSQL的账号密码以及数据库名，信息都有了

我们通过windows的数据库提权工具，将数据库的信息一一填入，测试连接发现成功连上，dba用户连接，但是xpcmdshell命令执行无法成功，不过可以成功得到c盘的权限，危害也很大，可以将里面的文件下载并且可以传🐎。

总结：

在师傅们得到Oracle和MSSQL的数据库账号密码的时候，都可以尝试进行一个连接，这些数据库都是默认支持外连的，但是MySQL数据库不同，他是默认关闭外链，防止连接数据库，所以一般mysql数据库都是很难连接上直接从数据库中获取到权限，师傅们可以不一定通过webshell拿到权限，也可以通过数据库获取到权限

各位师傅觉得文章有意思，记得设置为星标哦~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜子安全Sec 夜子 夜子《记一次稀缺资产逐步直逼系统的文件权限》