文章总结： 本文记录了作者通过Google语法发现某教育系统登录页，在尝试弱口令和信息搜集无果后，通过分析JS接口发现参数拼接漏洞，利用路径遍历突破边界访问内网服务，最终通过爆破获取配置文件中的默认账号成功登录后台的全过程。案例揭示了看似普通的参数传递漏洞可能串联成严重的内网渗透链，建议加强对外接口参数校验与默认配置管理。 综合评分： 80 文章分类： 渗透测试,WEB安全,漏洞分析,内网渗透,实战经验

edusrc实战：一个SSRF漏洞打进EDU内网的全过程

原创

澄影安全 澄影安全

澄影安全

2026年4月27日 17:07 广东

在小说阅读器读本章

去阅读

闲来无事，想找个edu网站练练手，随手甩了条 Google 语法：

inurl:edu inurl:Login# inurl：用于查找网址 (URL) 中包含特定关键字的网页

先试弱口令碰碰运气：

• admin/admin
• admin/123456
• admin/admin888
• admin/12345678

不出意外，全挂。

发现有个学生登录界面，要求写得很清楚：身份证号 + 密码。

那就继续用 Google 语法翻翻有没有泄露的账号密码，贴几个常用的：

• site:xxx.edu (学号 OR 账号 OR 用户名)
• site:xxx.edu filetype:xls OR filetype:csv (学号 OR “student id”)
• site:xxx.edu (学号) (名单)
• site:xxx.edu (学号) (身份证)
• site:xxx.edu (学号) (密码)
• site:xxx.edu username password

翻了一圈，没啥有价值的东西。算鸟算鸟，世上无难事，只要肯放弃。

打开Wappalyzer看指纹，也没收获。

常规熊猫头扫一遍，果然，啥也没有。

转机：JS 里的惊喜

查 JS 的时候，发现一个可疑的点：

构造数据包试试，居然能正常访问。

于是开始折腾这个参数：

改类型、加符号、测边界，把id换成abc、123-1、带空格的123……

具体试过的骚操作：

• 类型变换：

  id=abc

  id=true

  id=null

• 数值边界：

  id=0

  id=-1

  id=999999999999

  id=123.456

• 特殊字符：

  id=123-1

  id=123 456

  id=123@#%

• 编码混淆：

  id=%31%32%33

  全角数字 １23

• 结构破坏：

  id=123′

  id=”123″

  id=123;–

结果：纹丝不动，界面稳如老狗，半点报错都不给，直接给我整烦了。

脾气上来了，直接摆烂，随手甩几个脏参数：123/、123?、123#—— 依旧石沉大海，表面风平浪静。

换别人早放弃了，可我就不信邪 —— 这个id，真就只是老老实实查数据库？

突然灵光一闪：

现在系统大多是前端 → 后端 → 内部 API的链路，传进去的参数，说不定直接被后端拼进请求里了。

要是拼进 URL……那就有戏了。

温柔试探没用，直接上狠活。反手甩个 payload：

id = 1/aaa

发包瞬间，心跳都漏了半拍。返回结果一出来，直接精神了 —— 信息量炸了！

内部域名露了，接口路径爆了，请求方式明明白白。最关键的是： 被原封不动拼进了 URL。

“这是送上来的内网入口啊！”

既然能拼路径，经典路径遍历安排上：

id=1/../../

一发命中。返回直接跳出kxtw_web—— 成了！

原本该访问/1/somepath/，硬生生被../改道。从一个对外普通接口，直接撕开口子杀进内网服务。这一步，彻底打穿防线。

既然闯进来了，那就挨个翻。目标明确：找文件、找路径、找配置。

config``conf``backup``admin……

手动枚举一圈，全是空的。眼看又要僵住，是时候掏出我的“大宝剑”了： 把数据包扔进 Intruder，挂上常用配置文件目录字典，开爆！

功夫不负有心人，真炸出一个配置文件。 离谱，太离谱了。测试环境遗留？账号密码就这么直接给出来了？不管了，先冲再说。

火速找到登录接口POST /login，填上账号密码，果断发包。登录成功！

[#] 漏洞链条复盘

01.锁定普通接口

02.发现参数拼 URL 漏洞

03.泄露内部 API 路径

04.路径遍历闯入内网

05.自动化枚举挖到敏感配置

06.获取默认账号，一键登录后台

单个漏洞看都不起眼：参数拼接常见、内网接口正常、默认配置也不稀奇，可凑到一起，直接酿成致命大祸。

本来只是随手测个接口，没想到一路平推。

这反转，谁能想到？

📎 获取方法

整理了一份常用工具和笔记，后台回复：资料

回复加群获取交流群

⚠️ 最后必看 – 免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任。

本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。

如您在使用过程中存在任何非法行为，需自行承担相应后果。本工具来源于网络，若有侵权请联系删除，请勿用于商业行为！

📚 往期推荐

微信号: 关注公众号获取 | 扫码关注了解更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：澄影安全 澄影安全 澄影安全《edusrc实战：一个SSRF漏洞打进EDU内网的全过程》