记一次漏洞挖掘实战

前言

刚好看到某大学新上了证书，想起来自己也好久没挖过edu了，所以正好可以拿这个证书站练练手，也是运气比较好，通过一下午的挖掘，也是成功拿下。（以下漏洞均已提交edusrc 平台）

漏洞挖掘

0x01  越权漏洞

1、找到某个查询录取通知书的点

2、选择下面的未登记之后，我们可以自己填写信息

3、填写完相应的信息之后就可以去进行查询了，输入对应的信息抓包

4、修改id参数，即可越权查看其他人的信息

这里还有一处未授权，当时忘记交了，后面交上去之后重复了😂

0x02  某微信小程序SQL注入

1、在微信小程序点击日程

2、构造payload,报错注入一枚

3、okok，点到为止，其他漏洞就不放了

原文始发于微信公众号（安全攻防屋）：记一次漏洞挖掘实战