一次学校的渗透测试记录

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

最近客户内部系统自查，遂有了下文。客户要求对唯一暴露在互联网上的一个公众号服务功能进行安全测试，希望在内部自查中没有任何问题，话不多说，直接开始上正文。

公众号服务功能如下。

点进去发现，就是一些展示接口的调用，于是直接web网页中访问，从JS中获取API接口信息，通过拼接尝试，发现无果，然后只有尝试账号撞库攻击了。

这里有验证码，但是不慌，调用验证码识别的接口，写脚本直接开始进行撞库攻击，如下，成功撞库。

使用成功获取到的账号登录系统，如下。

仔细瞅了瞅，发现横竖就只有这么一个页面可以操作，没有任何其他功能键。于是拿起前面的API接口再次尝试了一下，看是否存在越权漏洞，很不幸，依旧啥都没有。

灰溜溜地在报文里面找了找，忽然发现一个接口挺亮眼的。

不出意外的话，应该是有越权漏洞的，遍历sno，如下，可以获取到其他用户的身份敏感信息。

美滋滋地写完报告，交付收工。

原文始发于微信公众号（安全无界）：一次学校的渗透测试记录