0x01 简介在 SRC 挖掘中小程序凭借接口繁多、鉴权薄弱成为高频突破口。本文聚焦实战场景整理支付逻辑绕过、水平越权访问、OSS 存储桶配置不当及敏感信息泄露等常见高危结合真实 edu SRC 案例拆解复现思路与利用手法从抓包改包到参数遍历、云存储利用全流程分享可直接上手的挖洞技巧助力新手快速上手、高效出洞。本文仅用于技术学习与合规交流严禁非法滥用。因违规使用产生的一切后果由使用者自行承担与作者无关。0x02 正文详情初入 src大部分新手都会选择教育 src 去作为入门随着网络安全的兴起各大高校对网络安全的认知逐渐增强核心资产基本都存在 waf 保护也进一步增加了渗透的难度。相对薄弱的站点就比较难找了这里聚焦 wx 小程序-服务号等 进行收集。支付逻辑支付逻辑是指在系统的支付流程中存在的业务逻辑层面的这类通常由于服务器端未对客户端请求数据中的金额、数量等敏感信息进行有效验证而产生。edu站点比较脆弱的支付系统一般就是水电缴费充值之类的小程序、web端。这里涉及到的基本都是四舍五入逻辑。支付系统通常将金额精确到分如0.00格式但在某些情况下系统可能会对小数点后的金额进行四舍五入处理。例如充值0.019元时付款方会自动识别到分段截止但服务方则会通过四舍五入将0.019进位为0.2。相当于我们将0.1变成了0.2元重复这样操作损失也是很大的。案例1某高校微后勤电费充值通杀大部分缴费系统存在此点击充值按钮这里最少是充值1元选择一元点击充值进行抓包如下数据包我们修改money字段为0.019成功响应生成了一个支付链接此时我们发现该链接显示的金额是0.01付款之后系统端提示充值成功0.02案例2 某高校汽车充电桩充值的时候可以自定义额度这里直接写了个0.019根本没有校验金额的合法性这里也是直接就成功支付验证存在了系统已经将其进行四舍五入为0.02元水平越权水平越权HorizontalPrivilegeEscalation发生在用户或攻击者能够访问与自己同一权限级别的其他用户数据或功能时但这些数据或功能并不属于自己。简单来说就是同级用户之间的越权访问。例如一个普通用户A通过修改请求中的用户ID或URL参数访问到普通用户B的账户信息或操作其资源这就构成了水平越权。案例1报修单撤回接口存在水平越权可撤回任意用户的报修申请两个账号进行验证账号1提交报修申请抓取流量包wxbx_data_id是报修单的id31358切换账号2同样申请保修单这里的wxbx_data_id31359也就是说保修单的id是连续性的那么就很容易存在越权了使用账号2撤回该账号申请的报修然后将该流量包中的id修改为账号1的报修单id31358发包回显撤回成功此时账号1已经收到通知撤回报修单成功案例2某场馆预约系统存在用户id遍历导致信息泄露这里我们准备两个账号分别添加预约人信息这里第一个账号添加的人员信息id为643033接下来我们用另一个账号进行预约该账号我们添加的人员Id为643034我们随便预约一个场馆人员选择我们账号填写的人员信息接下来我们只需要修改id号为我们上一个账号的id然后修改日期就可以对其他账号的人员进行预约并且该人员的信息并不在当前账号存储可以发现已经成功预约并且获得该人员的身份信息那么我们只需要重复上述操作即可将系统中存储的个人信息全部泄露出来云安全-OSS存储桶对象存储服务Object Storage Service简称 OSS以 HTTP RESTful API 的形式对外提供服务是阿里云提供的海量、安全、低成本、高可靠的云存储服务适合存放任意类型的文件。Bucket用户用来管理所存储Object的储物空间。ObjectOSS存储数据的基本单元。Key当存储文件Object时需要指定此Object的名称Key后续您将通过这个Key来获取该Object的内容。 Key也可以用来模拟文件夹的一些属性。Data存储的数据本体。oss常见的路由miniocode:nosuchkey这种情况十有八九是oss权限设置为公开可读写了。尝试put上传文件、delete删除文件等操作204即为成功删除的相应码如果能够成功上传文件的话我们还可以尝试去刷一波xss有时直接访问无法触发弹窗是上传的时候没指定返回头中的content-type我们可以在请求地址上增加response-content-typetext/html让浏览器将返回内容当html解析。这个估计有90%的站都存在但是很多站点用的都是公司的oss站点很容易出现归属存疑。有的站点只能上传、覆盖不能删除或者能删除不能上传的总之权限设置的都很离奇。oss存储桶还存在ak/sk泄露导致oss存储桶被接管的AK/SK 是对象存储服务OSS中用于身份认证和访问控制的核心安全凭证全称是Access Key / Secret Key访问密钥/秘密密钥。如果系统泄露了这两个key我们就可以完全接管oss服务器阿里云官方工具https://github.com/mrknow001/aliyun-accesskey-Tools敏感信息泄露敏感信息泄露是指应用程序由于配置不当、代码缺陷或逻辑错误导致本不应公开的数据被攻击者获取。是SRC挖掘中最常见且危害面广的类型之一。案例1报修系统配置不当泄露全体维修成员登录凭证属于是抓包就有这里GetAllWorkers接口直接把所有信息全部泄露了小公司提供的服务真的百出这里也是直接利用泄露的凭证即可绑定维修账号获取全部信息案例2校友系统认证配置不当导致敏感信息泄露这里我们利用谷歌语法进行信息收集site:xxx.edu.cn 姓名这里将姓名填写进去其他信息任意填写尝试选择认证信息抓包发现把用户的所有信息全部泄露出来了这里尝试直接替换该流量包的 xm 字段看看能不能遍历这里提示需要人工审核前端回显该用户已经被绑定过了那就是可以遍历了。只需要学生没有绑定该小程序即可尝试其他姓名提示我们验证码失效了发现短信上写的有效期是 2 分钟所以我们需要重新获取验证码这里直接将验证码包重新发包即可验证成功只需获取用户姓名即可泄露出所有敏感信息数据。0x03 总结挖 SRC 其实没那么玄乎小程序更是重灾区。抓个包改改金额就能绕过支付逻辑改个 ID 就能越权看别人信息OSS 配置不当直接裸奔接口一漏敏感信息全出来。只要思路顺、手速快、胆子细从小程序切入支付、越权、云存储、信息泄露一路收洞新手也能轻松出成果。最后*愿各位师傅在后续挖洞之路中精准定位、高效挖掘天天出高危、次次有收获挖洞顺利、不踩坑、多拿奖励共同提升支付业务安全测试能力*喜欢这类文章或挖掘SRC技巧文章师傅可以点赞转发支持一下谢谢