文章总结: 本文记录了对某双一流大学公众号及后勤管理系统的渗透测试过程。首先通过公众号前端绕过漏洞修改密码获取学号对应身份证信息。随后利用该身份证弱口令登录后勤系统,分析cookie发现由JWT和PHPSESSID组成且PHPSESSID默认admin权限。通过路径跳转逻辑漏洞,先访问PC端再访问管理端实现越权,最终获得管理员权限。文章强调教育目的并警示法律风险。 综合评分: 85 文章分类: 渗透测试,红队,内网渗透,WEB安全,漏洞分析
某双一流大学从公众号到管理员权限
原创
凌曦安全 凌曦安全
凌曦安全
2026年7月14日 10:49 重庆
在小说阅读器读本章
去阅读
本推文提供的信息、技术和方法仅用于教育目的。文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。
严禁将本文中的任何信息用于非法目的或对任何未经许可的系统进行测试。未经授权尝试访问计算机系统或数据是违法行为,可能会导致法律后果。
作者不对因阅读本文后采取的任何行动所造成的任何形式的损害负责,包括但不限于直接、间接、特殊、附带或后果性的损害。用户应自行承担使用这些信息的风险。我们鼓励所有读者遵守法律法规,负责任地使用技术知识,共同维护网络空间的安全与和谐。
前言
为了增加学员的学习热情与积极性,内部增加了一个新的活动:每周收集学习周报,不限于本周学习的内容、新姿势、案例、心得体会等等。
最终所有学员大家一起投票选2篇优秀周报(一篇是新手学员的,一篇是有基础的老学员的),作为奖励,会奖励优秀周报的学员每人一顿kfc(直接V50),后续kfc常驻,偶尔送点别的证书(如cnvd)
1、公众号(保卫处)前端绕过
我在测试edu的时候,一般做完信息收集之后会开始分析哪些薄弱项,首先我会分析移动端,小程序或者是公众号,现在的很多学校的pc端都做了统一身份认证但是很多都是网站的,小程序或者是公众号就是有漏网之鱼,要吗就是不需要统一认证只需要学号加上身份证后几位这种弱口令,有一些就是统一身份认证和旧系统认证方式二选一,今天的案例就是后者
如果有师傅有目标学校的学号可以尝试一下弱口令(一般是身份证后六位或者是学号后四位或者是六位),不然就是看一下忘记密码是不是可以绕过前端直接修改密码,账号获取可以去使用谷歌或者是某鱼或者是去搜索全国大学生奖学金那个可以获取学号 这里就是绕过前端改的密码
修改获取验证码响应包code:1改为0绕过手机验证进入修改密码
然后我们也是成功进去了,然后就是里面有一个我的信息按钮,师傅们可以抓到这个接口看一下可以不可以fuzz一下参数,然后整一个信息泄露,但是我这里没有信息泄露,但是有这个学号的对应人的sfz
2、目标系统的后勤管理系统
打完这个保卫处,因为找不到其他的漏洞了(因为燃尽了找不到其他的洞比如sql之类的又没有文件上传的点然后又没有找到后台,我估计是有的但是藏的比较深),我继续在公众号搜索的发现目标还有一个后勤系统(我打过几次后勤系统了,我很多学校都有并且有机会弱口令进去,然后就是很多参数没有前端加密,后端校验也有问题,很有可能出现严重信息泄露,然后就是也可能找到管理端进行越权)这里的后勤处就是经典的例子,可以两种登录方式
我们就开始尝试弱口令因为前面提到我们拿到那个同学的身份证,密码就是身份证后六位,然后我们直接弱口令进去了,然后我们就开始分析cookie包发现这个是由两部分组成(这里忘记截图了)就是一个jwt然后就是一个 PHPSESSID组成并且PHPSESSID里面的role默认就是admin,然后我就分析前面是身份认证,后面就是鉴权的 因为这种公众号或者是小程序一般会有网页端的后台,所以我们直接复制这个网址用浏览器打开,这里会用浏览器打开因为我们想看一下是不是有pc端,或者是管理员端
登录后删除后缀“/appAccount/home”,重定向到https://xxxxxx /ihome/student
这里判断用手机还是pc用的路径来判断,因为删除/appAccount之后就会自动跳转到pc的端,这里的令牌都是通用的只要移动端登录电脑端也可以接着用
下面就是pc端的
然后我感觉可能还有管理端因为使用的路径判断所以我直接dirsearch进行扫描真的发现一个manager端,然后我直接访问就越权成功了,进去后发现这个服务确实是微服务并且还是几个语言一起开发的。
然后我就开始思考为啥就直接越权成功了 前面不是说小程序哪里有一个cookie组成就是jwt的令牌然后组合PHPSESSID,然后jwt就是看你是不是合法用户后面PHPSESSID看你是什么权限,前面提到当时我抓包小程序的时候我发现就是里面cookie自带了权限就是admin的,然后我清除cookie缓存之后再去,先访问移动端再去访问manager端提示我权限不足,但是我先去访问pc端再去访问manager端权限就可以,后面我发现是pc端和manager端都是java开发但是小程序是php开发的,如果我直接拿着小程序的PHPSESSID去访问manager虽然能登录但是权限不够,因为manager端是java开发的但是小程序是php开发的所以不能判断你是什么权限,但是你先去访问pc会自动看你cookie的权限是啥,然后自己生成SESSIONID所以我们先去访问pc端然后发现,服务端判断你是正确的用户然后发现你管理员给你生成管理员JSESSIONID然后就可以访问manager端了。这里就是一个逻辑漏某双一流大学从公众号到管理员洞后端没有判断这个权限是否真实有效。后续manager端也有文件上传点,但是我进行绕过时候发现并不行。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:凌曦安全 凌曦安全 凌曦安全《某双一流大学从公众号到管理员权限》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论