记一次拿下全校信息的漏洞+垂直越权

发布于2025年5月25日2025年7月19日作者:cve-20

记一次拿下全校信息的漏洞+垂直越权

原创猎洞时刻猎洞时刻 2025-05-25 14:25

                              免责声明
本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员，专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员，均需承诺遵守国家法律法规，严格遵守网络安全行业的道德规范。
严禁黑灰产及违法行为：本课程严禁任何从事黑灰产、非法入侵、攻击他人系统或从事任何违法行为的人员参与。如果学员在学习过程中有任何违法行为，本课程及相关机构将不承担任何责任。
学员行为与本课程无关：课程内容仅供学术研究与技术提升之用，任何学员的行为与本课程无关，学员需对其行为负责，并承诺仅将所学用于合法的网络安全防护和技术研究。
参与本课程即表示您已充分理解并同意以上免责声明。如有任何疑问，欢迎与我们联系。

《猎洞时刻漏洞挖掘培训第三期》不仅仅是挖洞课程，一次报名永久学习，送永久星球、护网培训和推荐、全天技术在线解答、大学生入职规划、技术不错可以安全厂商内推、简历优化修改、安全圈子其他课程资源分享、学不会可以直接语音交流。更重要的是售后服务。目前价格1K多，并且还有优惠！永久学习！

信息泄露漏洞：

从一处访客预约小程序入手，在预约功能处，关注到以下信息。

可以看到这里被访人姓名显示的是自动获取，则这里就有一个通过手机号获取被访人姓名的接口，但在前端只显示了姓名，其实是把所有信息都查到了。(开发偷懒，返回全部内容，只显示名字在页面，但是抓包可以看到全部信息！)

但我们现在并没有这个学校老师的手机号，无法查出数据，也就没法验证。

于是通过浏览器或者谷歌语法去寻找手机号。

最终翻到了很多老师的联系方式，获取了手机号，就可以填入获取老师信息。

抓包，随便输一个看看，可以看到包里返回了身份证号以及人脸信息的地址。

用yakit提
取
之前网页中搜集到的
全部手机号，到
bp接口爆破
，得到了许多老师的身份证和人脸信息。

同时，在该校的学工系统发现了默认密码规则为身份证后六位。

于是用尝试刚获得老师身份证，提取后六位，放到bp里选pitchfork进行爆破，爆破出了一些账号。有高权限账号也有低权限账号，先用高权限账号登录，关注到了一个全校学生的功能点。

此高权限账号是可以直接访问的，能查询任意学院任意学生的所有信息，包括身份证号，手机号，人脸信息，家庭住址，还有其家长的电话号码等敏感信息，约七千多位学生。

垂直越权漏洞：

开始研究该高权限账号在此功能处的数据包，方法是将请求包中所有疑似鉴权字段的字段值一一更改，最终发现当更改了groupId时，请求不出数据了，显示暂无权限，可以确定groupId即为真正的鉴权字段。

切换我们的低权限账号访问全校学生功能点

无任何回显，查看数据包显示暂无权限
。

于是一直开着
bp拦截不松，将
每
一个请求包后面都加一个
&groupId=1003

改一个放一个
，
最终达到了和高权限账号同样的，查看全校学生信息的效果

有数据正常回显了，最终造成了垂直越权，通过添加一个参数造成垂直越权漏洞。

以上漏洞均已提交。

猎洞时刻第三期漏洞挖掘培训

目前猎洞时刻漏洞挖掘第三期正在开课中，
覆盖企业赏金SRC，众测赏金，线下项目渗透和安全行业工作能力提升、EDU、CNVD，目前价格仅需1千多
，每期都可以永久学习，并且赠送内容200+的内部知识星球，保证无保留教学,不搞水课!
众多学员入职CT、LM、QAX、AH等安全大厂。酒香不怕巷子深，可以打听已经报名学员，我这边是否全程干货!

绝对对得起师傅们花的钱! (以上课表内容并非全部，经常在上课期间添加新的技能方向!)