原文链接: https://mp.weixin.qq.com/s?__biz=Mzk0Mzc1MTI2Nw==&mid=2247493293&idx=1&sn=3ab43e73480497e2f567c4f022e8754c

【SRC】分享某单位众测中的一次高危——逻辑漏洞

原创 彦师傅 神农Sec 2025-07-15 08:27

扫码加圈子

获内部资料

网络安全领域各种资源，EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章，以及工具分享、前沿信息分享、POC、EXP分享。
不定期分享各种好玩的项目及好用的工具，欢迎关注。加内部圈子，文末有彩蛋（知识星球优惠券）。

某单位众测SRC漏洞挖掘思路分享

1、首先是在 xxxxxxx平台查看全站企业内部员工信息

首先在小程序开通vip，最低档的5元即可，之后获得web端的进入权限

https://xxxxxxx/Login

2、找到这个系统的登陆界面，直接先登陆即可

然后在系统里面尝试刷新下页面，这里注意观察页面或者数据包的一个回显操作

3、开启f12，开始js逆向

搜索：
Ou.prototype.fetch

4、这里直接经过js逆向操作，然后打断点，分析函数和相关接口，进行分析，可以看到这里出现了一个ID值

5、修改r的id值为被越权企业的epId值

QYxxxxxx3334600198

6、师傅们这里就可以直接看到B角色的账号信息了

然后还可以获取其他用户人员的epid值，然后可以直接未授权看到其他公司的敏感数据了

7、这里给师傅们分享下这次进行AES密钥解密的一个过程，如下：

8、师傅们可以看，
可以看到这里有xx公司本身以及旗下的子公司的名片，数据量巨大

光是加载部分公司的数据，返回包已经来到了710494

泄露全部注册企业的人员信息，最后也是直接众测高危到手，直接几千块的SRC赏金，也是很香啊～

内部小圈子详情介绍

我们是
神农安全
，点赞 + 在看
 铁铁们点起来，最后祝大家都能心想事成、发大财、行大运。

内部圈子介绍

圈子专注于更新src/红蓝攻防相关：

1、维护更新src专项漏洞知识库，包含原理、挖掘技巧、实战案例
2、知识星球专属微信“小圈子交流群”
3、微信小群一起挖洞
4、内部团队专属EDUSRC证书站漏洞报告
5、分享src优质视频课程（企业src/EDUSRC/红蓝队攻防）
6、分享src挖掘技巧tips
7、不定期有众测、渗透测试项目（一起挣钱）
8、不定期有工作招聘内推（工作/护网内推）
9、送全国职业技能大赛环境+WP解析（比赛拿奖）

内部圈子
专栏介绍

知识星球内部共享资料截屏详情如下

（只要没有特殊情况，每天都保持更新）

知识星球——
神农安全

星球现价 
￥45元

如果你觉得应该加入，就不要犹豫，价格只会上涨，不会下跌

星球人数少于1000人 45元/年

星球人数少于1200人 65元/年

（新人优惠卷20，扫码或者私信我即可领取）

欢迎加入星球一起交流，券后价仅45元！！！ 即将满1000人涨价

长期
更新，更多的0day/1day漏洞POC/EXP

内部知识库–
（持续更新中）

知识库部分大纲目录如下：

知识库跟
知识星球联动，基本上每天保持
更新，满足圈友的需求

知识库和知识星球有师傅们关注的
EDUSRC
和
CNVD相关内容（内部资料）

还有网上流出来的各种
SRC/CTF等课程视频

量大管饱，扫描下面的知识星球二维码加入即可

不会挖CNVD？不会挖EDURC？不会挖企业SRC？不会打nday和通杀漏洞？

直接加入我们小圈子：
知识星球+内部圈子交流群+知识库

快来吧！！

神农安全知识库内部配置很多
内部工具和资料💾，
玄机靶场邀请码+EDUSRC邀请码等等

快要护网来临，是不是需要
护网面试题汇总
？
问题+答案（超级详细🔎）

最后，师傅们也是希望找个
好工作，那么常见的
渗透测试/安服工程师/驻场面试题目，你值得拥有！！！

内部小圈子——
圈友反馈
（
良心价格
）

---

神农安全公开交流群

有需要的师傅们直接扫描文章二维码加入，然后要是后面群聊二维码扫描加入不了的师傅们，直接扫描文章开头的二维码加我（备注加群）

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.