来Track安全社区投稿~  

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn）

一、信息收集思路及技巧

注：这一段信息收集思路及技巧是笔者借鉴我大湘安无事的大佬--沫颜 WEB 安全的思路。具体的可以看这个链接Edu教育src证书信息收集思路及技巧（二）

每个小程序是需要备案后才能上架的。那我们想要查询到这些小程序的信息就需要用到下面这个网站：

https://beian.miit.gov.cn/

好用示例：

直接在 wx 中搜索清*大学小程序，杂七杂八而且很多其他大学或者公司的小程序。

在这个网站能直接查询到 42 条小程序信息。

比如说这个 清选 这个小程序，你在微信里翻到底，翻到 g 都找不到的。但是这时候我们如果自己手动去搜这个清选名字，能搜到，而且是标注了清大学事业单位的所以百分比是属于清大学的漏洞的。

这就是出洞的关键所在，去找一些边缘资产，去挖一些别人没碰过的站点。出洞的几率会大大提升！！

二、第一个证书站小程序

（1）任意账户登录

点击登录并 BP 抓包

像 wx 小程序，这种授权一键登录的，有漏洞的几率很大。它就是获取微信绑定的手机号，然后根据手机号返回账户信息。像 session_key、iv、encrydata 三要素泄露，账户接管等等这些漏洞就经常在这里产出。

这里我们虽然只有 encry 和 iv 但是不影响，直接拦截返回包，可以看到 phoneNumber 和 purePhoneNumber 就是我们 wx 绑定的手机号 18*********。

将phoneNumber和purePhoneNumber参数修改成其他手机号,放包

下一个数据包我们的手机号就变了

再下一个数据包账户信息和手机号都变了，到这里我们的任意账户漏洞其实已经基本完成了。

（2）验证码转发漏洞

这里我们原本是 18 开头的手机号，点击更换手机号。

输入 19 开头的新的手机号码。点击下一步并抓包。

这里应该是确认更换的手机号为 19 开头的

这个数据包，就是发送验证码的数据包，关键就在这里，将 mobilePhone 改成其他手机号。

成功接收，非 19 开头手机号码接收到验证码。这里后期我也测试过，我怕 18 开头的手机号是我原本的手机号它本来就能接收验证码，所以我拿朋友 的手机号验证了，确实是存在验证码转发，只要第一个数据包的手机号不变，那么修改的手机号就不会变，第二个数据包就是验证码转发的关键。

三、第二个证书站小程序

（1）账户接管漏洞

分享一个收集教师手机号码的方法

site:edu.cn "微信同号"/“联系电话” filetype:xls/doc/pdf

这里我就找到了很多老师的联系电话

这里的一键快捷登录不一样，因为它下面标识了，仅支持客户用户内部使用，所以我们是快捷登录不了的，这就是我找教师联系电话的原因。

点击一键快捷登录并抓包

、

获取到这个数据包后，将 mobile 替换成教师手机号

因为我测试过程中登录失败了很多次，所以出现这个数据包的时候我就知道出货了，360 为用户 id 号（这也是后面的一个漏洞做了铺垫）

直接接管用户。一堆信息泄露。

（2）越权漏洞 1

点击我的并抓包

将 360 也就是用户 id 号替换成其他数字即可获得其他账户信息

这里替换成 366

这里信息已经变了，之前是女，现在是男至于其他信息不好露出，见谅见谅。

（3）越权漏洞 2

上传签章处，本来想测试文件上传，但是测完一遍发现无货呀，但柳暗花明又一村

点击预览签章

发现也是 36*用户 id 控制的

直接替换即可越权获取他人电子签名

盗用签名的危害也是很大的。

可能会有经济、名誉、法律责任等损失，所以这个漏洞危害也是很大的。