声明

本文章中所有内容仅供学习交流，严禁用于商业用途和非法用途，否则由此产生的一切后果均与文章作者无关！

前言

算是edu相关的系统，但是是第三方系统，正巧一些小HW期间肯定尽自己最大努力测试啊。话不多说直接开始

开始

网站就这么一个网站，开局登录框起手那难度不用说了，不过了这个是某个大学的第三方学习系统，简单来说呢就是成人教育啊，继续教育学院类似于这种系统

互联网上直接一波信息搜集无果，社工库试试，成功拿到学号和身份证，直接学号和身份证后6位登录进去，进去后发现信息好多啊，身份证，手机号，qq号，准考证啥的

不过都没有什么越权的测试点，在上图的右下角发现有一个webim的功能点，点击发现是一个聊天框，想也没想直接XSSpayload甩进去看看效果，运气不错还真有

然后这不是有一个用户图像吗，我想着点开看看能不能目录遍历啥的

结果一看发现是user/xxx/avatar形式的，这种一看就很有越权的感觉

换成51387，成功越权查看别人的头像，这里说一下，这个系统所有的身份信息都是自己的证件照哦，所以基本就是本人了

在试试10，看看有没有信息，也有，那就说明这个是有一定规律的，而且经过测试这个接口是可以未授权访问的

因此可以使用burp批量包破查看所有信息，这里一共泄露了50000+的图像信息，搞不好就有几千分了哈哈哈

原文始发于微信公众号（蓝云Sec）：一次xss测试导致越权50000+信息泄露