本文作者：Track – 郑居中
文章中涉及的敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行承担！

1. 寻找资产

在进行edu漏洞挖掘的时候，我们常常遇到统一认证平台，账号是学号，密码是身份证后6位（甚至是更复杂的密码），同时找到这两者的几率很小，所以我们把关注点放在微信小程序中，因为微信小程序存在一键授权登录，不需要本校学生的学号和密码（小部分），这里我们找学校的小程序，直接搜索大学,职业学院等字样

2. 开始渗透

随便点进去一个来，手机号一键登录，这里一键登录可能存在泄露session_key，可以造成账号接管的风险，我的前几篇文章写过session_key泄露利用方式，师傅们可以去了解一下，话不多说，回到正题，功能点都点一点，看到一个身份证的功能点

这里观察数据包，可以看到只有我的手机号，因为我没有实名认证

骚思路1

仔细观察数据包,原路径是这样的，猜测开发人员的思路，在后面添加/list,可能存在

原路径/prod-api/system/info/small/userId修改后的路径/prod-api/system/info/small/userId/list

修改后的返回包

可以看到并没有，这个这个路径，那这样就放弃了吗？显然是不可能的，删除前面的路径,当删到info时，直接回显了，其他人的实名认证的信息，而idPhoto，就是sfz存在的地址，太敏感所以这里不放出来了

/prod-api/system/info/list

骚思路2

默认只有10条信息，想要获取更多的数据信息，观察其他的数据包，发现他们控制输出内容的参数是?pageNum=1&pageSize=100，直接拼接

就得到了大量的sfz信息和手机号

骚思路3

继续思考，将info改为user，发现显示管理员的信息

/prod-api/system/user/list