文章总结： 本文分享了六个在不同大学证书站挖掘的安全漏洞案例，涵盖支付逻辑漏洞、SQL注入、验证码回显、未授权访问与删除等多种类型。作者通过BurpSuite抓包修改参数，成功利用了充值金额逻辑绕过、身份认证越权、预约操作越权等漏洞，并最终在平台上获得了相应的安全证书。文章还包含了一些安全培训和资源分享的广告信息。 综合评分： 75 文章分类： SRC活动,WEB安全,渗透测试,实战经验,漏洞分析

---

，下面开始表演！！！

sql注入：

1.点击添加设备，查看burpsite，在mac参数后面就单引号，发现报错

这？？？感觉没有waf啊，直接丢进sqlmap跑，于是…….

wc？？？这就出了？立马去平台写报告提交

验证码回显：

点击这个大学的主公众号，发现主菜单有个充电桩

点击立即充值，出现注册页面，输入自己的手机号，查看burpsite，发现验证码回显

这不任意用户登录接管吗，再看看手机号收到的验证码发现一致

也是顺利拿下中危了

证书站三：（未授权删除）

这个学校是我的梦中情校啊！！那天花了四个多小时测资产IP封了我几个，这个大学基本全部网站都有waf，触发恶意行为立马拉黑

接下来开始我的表演！

这个是大学的线上打印，连接蓝牙设备打印，上传一张图片，点击打印文档

把图片删除，查看burpsite

发现删除文件是由dwJobId和dwOldJobId参数决定的，而且这两个参数的值一样

2.把数据包发送到重放器，替换成其他数字

发现回显的内容一样，怀疑成功越权删除其他用户的文件。第二天在edu发现已经修复了，我再去复现的时候发现加了鉴权，最后也是成功拿下中危！！！！

证书站四：（两个未授权）

这个大学也是有waf，不过没有上面的大学waf那么严，不过…..发现边缘资产没有waf！！！

未授权一：

1.点击公众号的在线充值

点击地址管理，准备两个账号

（左边A账号，右边B账号）

A账号刷新页面查看burpsite，发现地址管理页面是根据takeawayPhone参数控制的

2.把A账号的数据包发送到重放器，替换成B账号的手机号

当把takeawayPhone的值为空，获取到其他用户的地址信息

未授权二：

点击意见反馈，准备两个账号

A账号点击提交，查看burpsite

发现提交反馈是根据phone参数控制的

2.把A账号的数据包发送到重放器，替换成B账号的phone

刷新B账号的页面，发现有反馈记录，成功越权反馈

打包一起交到平台，拿下中危兑换证书！！！

证书站五：（三个未授权）

那天下午一点多刚在机房刚吃饱饭，发现邮件提示某大学漏洞证书上线！！！！

于是关掉某音立马信息收集，发现在边缘资产存在sql注入和未授权，sql给某个师傅交了拿下了高危

未授权一：

点击身份认证，准备两个账号

（左边A账号，右边B账号）

A账号点击修改身份信息，查看burpsite

发现修改身份信息是由name参数控制的，phone不正好是手机号吗

把A账号的数据包发送到重放器，替换成B账号的手机号

刷新B账号页面，发现身份认证成功被修改

未授权二：

点击预约，也是准备两个账号

（左边A账号，右边B账号）

A账号点击预约，查看burpsite

发现提交预约跟phone参数有关，并且没有加任何认证

2.把A账号提交预约的数据包发送到重放器，替换成B账号的手机号

刷新B账号，发现成功越权预约

未授权三：

有越权预约那么可能也有越权取消预约，立马开干

A账号点击取消预约，查看burpsite

发现取消预约是由id参数控制的

2.把A账号取消预约的数据包发送到重放器，替换成B账号的id

刷新B账号页面，发现被取消，成功越权取消预约

最后交到平台，通过了两个重复了一个

证书站六：（sql和弱口令）

在刷某音的时候发现邮件提示证书上线了！！！于是开启我的信息收集大法收集了一波资产

sql注入：

在某个小程序存在sql注入

打开小程序，搜索框搜索xh

查看burpsite，在column参数单引号报错

在column参数后面加上sleep(1)，成功延迟

返回包下面有关参数total:13返回13秒，然后呢？？？？sql就这样出了

弱口令：

打开大学采购系统，输入经典的弱口令账号密码都是admin

然后…….登陆到后台了

第二天发现被驳回了一个，sql重复了

后台回复加群加入交流群

广告：  cisp pte/pts &nisp1级2级低价报考，货比三家不吃亏。

陌笙安全交流圈子+陌笙src挖掘知识库+陌笙安全漏洞库介绍 （加入圈子送知识库+漏洞库）

如果觉得合适可以加入，人数满300人，就没有5元的优惠券了，目前价格只需35元，圈子的价格只会根据圈子内容和圈子人数进行上调，不会下跌

圈子福利

漏洞挖掘1v1指导,我给指定站,你测试之后出报告,我根据报告总结你不出洞的问题,以及看漏洞点和总结，当然你可以自己找站，我来帮你完善总结思路。（不包过，思路为主，主要针对小白，大师傅就没必要了，主打性价比，帮师傅们快速提升，挖到第一个edu洞。）

陌笙src挖掘知识库介绍（内容在更新中）

信息收集弱口令漏洞任意文件读取&删除sql注入漏洞各种逻辑漏洞url重定向漏洞命令执行漏洞反序列漏洞未授权访问漏洞挖掘XSS漏洞挖掘CSRF漏洞挖掘dns域传送漏洞SSRF漏洞挖掘EDUSRC挖掘案例分享等各模块不在一一介绍

edusrc

src挖掘基础知识

陌笙安全漏洞库介绍

1day&0day分享EDUWeb应用漏洞CMS漏洞OA产品漏洞中间件漏洞云安全漏洞人工智能漏洞其他漏洞开发框架漏洞开发语言漏洞操作系统漏洞数据库漏洞网络设备漏洞等

圈子介绍

1、src挖掘思维导图，信息收集思维导图，edusrc挖掘思维导图，以及后续的红队&面试思维导图&自己网安笔记等持续更新2、2025-2026的edusrc实战报告包含证书站和非证书站以及2025之前的各种优质报思路分享3、各种src报告思路分享（内部&外部）4、分享各种src挖掘&edusrc挖掘培训资料&视频5、不定期分享通杀、0day6、有圈子群可以技术交流以及不定期抽取证书&免费rank7.分享各种护网资料各家安全厂商讲解视频&精选实战面试题目8、各种框架漏洞技巧分享9、各种源码分享（泛微、正方系统、用友等）10、漏洞挖掘工具&信息收集工具&内网渗透免杀等网安工具分享11、各种ctf资料以及题目分享12、cnvd挖掘技巧&CNVD资产&src资产分享&补天1权重资产分享&fofakey共用13、免杀、逆向、红队攻内网防渗透等课程分享14、漏洞库&字典以各种内容不在一一说明15、cisp-pte/pts&nisp一级&nisp二级&edusrc证书内部价格15、如果有漏洞挖掘问题或者工具资料需求可以找群主(尽量满足)

目前550多条内容，扫码查看详情，持续更新中。。

如果觉得合适可以加入，价格不定期会根据圈子内容和圈子人数进行上调

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：陌笙不太懂安全 null《几个证书站的挖掘案例分享》