文章总结： 作者记录某高校教育SRC漏洞挖掘过程：通过登录框注册功能成功创建职工账户，测试时发现大部分功能需鉴权，但检查BP数据包发现user/all路由存在未授权访问漏洞，导致全站用户信息（含手机号及密码哈希）泄露。利用泄露手机号配合任意密码即可登录系统，进一步发现管理员越权操作点（如用户增删改查、审核权限绕过）。最终提交漏洞获证书，建议测试时关注注册功能及数据包检查。 综合评分： 85 文章分类： WEB安全,渗透测试,漏洞分析,实战经验,安全运营

记录一次edusrc某证书大学漏洞挖掘

原创

sakuya sakuya

略懂安全的三秋

2026年3月24日 16:23 广西

在小说阅读器读本章

去阅读

作者：sakuya

原文链接：https://xz.aliyun.com/news/91098

登录框起手

经典登录框开局

有个注册的功能点 我们尝试能否注册账号

随便写点东西然后成功注册了

我这里直接成功注册职工账户了

首页就有许多的功能点可以测试

那么我们现在就可以开始一个一个点击并测试是否存在越权操作

这里记得开启你的bp 把一个个数据包都记录下来

测试功能点

经过好一顿测试 发现绝大部分的功能点都无法使用

所有的管理操作界面 当你点击的时候都会进行一个鉴权操作

导致跳转到这个401界面 提醒我们没有权限操作

猜测虽然我们成功注册了 但是实际上可能还没有被管理员审核成功 导致虽然有职工账户 但是却没法实际操作

到了这里基本可以宣告结束了

但是在最后 我们还可以看看具体数据包的情况 比如说在点击什么功能点的时候会不会加载了什么有敏感信息的路由

所以我们现在就可以回到刚刚开启的bp界面查看一手历史数据包里有没有什么大货

翻看bp历史数据包

当我点击一个又一个的历史数据包的时候

绝大部分都数据包都是没有什么内容的

但是当我打开了一个叫user/all的路由时 发现响应包长度不正常

这个数据包居然没有做鉴权操作 导致全站用户信息泄露

当时也是比较吃惊 怎么这个数据包就刚好没鉴权呢

总之先不管为什么这个没鉴权

我们现在确确实实找到了一个没有鉴权的路由

里面刚好有手机号和密码hash

手机号就是账号名

密码hash可以试着看看能不能被cmd5爆破出来

尝试登录账号

回到刚刚的登录框

我们使用刚刚获得到的手机号进行登录

当我输入一个弱密码的时候居然直接登进去了

用户名的部分就写着一个老师的名字

我们居然成功登录进去了

经过我后面的尝试发现其实这里有这一个巨大的问题

站内所有用户的手机号都可以进行登录

但是密码其实是”没有”的

这里的没有并不是真的没有 因为确实是有密码hash

实际上是这个登录框不需要真正的密码就可以登录进去

只需要你随便输入几个字符串就都可以登进去 密码形同虚设

这种情况也是百年难见 可遇不可求

那么现在就可以愉快的测试功能点 来扩大影响范围了

测试功能点

开始重新测试

首先发现是一个管理员用户 可以进行正常后台的一些列操作

增删改查用户 泄露用户信息等

又找到了几个越权点

比如编辑用户信息 同意/拒绝他人审核等接口

只需要修改参数中的user_id的值就可以简单进行越权等操作

这些也都是常见的越权点

这里就不做过多说明了

最后发现其实之前user/all的路由是不需要登录的

可以直接未授权访问 导致全站用户信息泄露

这个可比没鉴权更严重 这个是什么都没做 直接就可以访问到、

提交到edusrc上 也是美美拿下又一个证书站点

总结一下

首先遇到登录框 可以看看有没有什么登录之外的功能点 比如注册 密码重置什么的 都可以去尝试看看

一般如果可以注册的话 应该都可以到站点内部进行测试

还有就是一定要时刻查看bp数据包的历史情况

没准就会有像是这样的未授权访问 泄露全站用户的情况

叠甲环节

文章来自作者日常积累，未经许可严禁转载，转载需联系本人。文中内容仅限学习交流，严禁用于商业及非法用途，涉及网络安全相关未经授权不得测试，违规使用后果自负，与作者和公众号及本文无关 。（都别乱搞哈）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：略懂安全的三秋 sakuya sakuya《记录一次edusrc某证书大学漏洞挖掘》