企业SRC支付漏洞与EDUSRC众测挖掘技术详解

0x1 前言

本文详细讲解企业SRC支付漏洞挖掘技巧、EDUSRC漏洞挖掘案例以及众测实战经验。内容涵盖支付逻辑漏洞、UEditor编辑器漏洞、SQL注入等常见漏洞类型，并提供详细的操作步骤和验证方法。

0x2 支付漏洞挖掘技术

一、两手机支付漏洞（优惠券复用）

漏洞原理：利用应用支持多设备同时登录的特性，通过订单取消和并发支付实现优惠券重复使用。

操作步骤：

准备两部可同时登录同一账号的手机设备
设备A：进入会员付费功能，使用新人优惠券创建订单并停留在支付页面（不支付）
设备B：登录同一账号，取消设备A创建的订单（优惠券会自动返还）
设备B：使用返还的优惠券再次下单
两部设备同时支付，实现优惠券重复使用

关键点：

应用必须支持多设备同时登录同一账号
取消订单后优惠券必须能立即返还
支付过程需要严格同步操作

二、优惠券并发重复使用漏洞

漏洞原理：利用并发请求绕过优惠券使用次数限制。

操作步骤：

找到使用优惠券的订单提交接口
使用Burp Suite抓取提交订单的数据包
配置并发插件（如Turbo Intruder），设置并发数量为20
使用以下race.py脚本进行并发攻击：

def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint,
         concurrentConnections=20,
         requestsPerConnection=100,
         pipeline=False
               )
    for i in range(20):
        engine.queue(target.req, target.baseInput, gate='race1')
    engine.openGate('race1')
    engine.complete(timeout=60)

def handleResponse(req, interesting):
    table.add(req)

验证所有并发请求是否返回相同状态码和长度
检查支付页面，确认多个订单均成功使用优惠券

关键点：

并发数量需要根据服务器性能调整
请求间隔要尽可能短
需要验证服务器是否真正处理了所有并发请求

0x3 EDUSRC中UEditor编辑器漏洞利用

漏洞背景：UEditor 1.4.3版本存在文件上传漏洞，可导致getshell。

操作步骤：

信息收集：通过学校教师职工登录系统界面判断系统较老旧
凭证爆破：收集职工号，尝试默认密码123456爆破登录
功能测试：进入后台后查找文档管理功能中的编辑器
版本识别：确认UEditor版本为1.4.3
漏洞利用：
- 搜索"UEditor1.4.3漏洞"获取POC
- 通过Cookie判断系统为.NET(aspx)
- 使用POC获取上传路径
- 上传webshell并用蚁剑连接

关键点：

老系统常用默认密码或弱密码
编辑器功能点常存在上传漏洞
需要准确识别系统语言类型以选择合适webshell

0x4 某EDU大学官网SQL注入漏洞

漏洞位置：官网搜索框

操作步骤：

初步测试：输入1'触发报错并暴露绝对路径
确认注入类型：POST型注入
使用Burp Suite抓包并保存为txt文件

使用sqlmap进行自动化注入：

sqlmap -r request.txt --dbs
sqlmap -r request.txt -D database --tables
sqlmap -r request.txt -D database -T table --dump

获取管理员账号密码并成功登录后台

关键点：

报错信息可帮助确认注入点
绝对路径暴露有助于后续攻击
需要完整保存请求数据包供sqlmap使用

0x5 众测案例：小程序sessionkey泄露漏洞

漏洞原理：利用小程序手机号一键登录功能泄露的sessionkey伪造用户身份。

操作步骤：

分析小程序登录流程，重点关注手机号一键登录功能
正常登录抓包，获取加密的sessionkey
解密sessionkey获取原始手机号信息
尝试修改手机号为攻击者控制的号码并重新加密
替换数据包中的加密字段尝试未授权登录

当直接替换失败时，检查返回包中的明文参数：

{
  "phoneNumber":"xxxxxxxxx",
  "purePhoneNumber":"xxxxxxxxxx"
}

修改返回包中的这两个参数为攻击者手机号实现登录绕过

关键点：

小程序登录流程常存在会话管理问题
即使主要参数加密，返回包可能泄露敏感信息
需要测试各种可能的参数修改方式

0x6 总结与提升建议

支付漏洞挖掘要点：
- 重点关注优惠券、折扣码等促销功能
- 测试订单创建、取消、支付全流程
- 尝试多设备、多账号并发操作
EDUSRC挖掘技巧：
- 老系统常存在默认凭证和已知漏洞
- 编辑器功能是重点测试对象
- 官网搜索功能可能存在注入漏洞
众测经验：
- 小程序安全测试要关注会话管理
- 即使主要防护措施存在，辅助功能可能泄露关键信息
- 需要全面检查请求和响应中的所有参数
学习建议：
- 多研究公开的漏洞报告和文档
- 建立自己的漏洞案例库
- 关注各种新出现的漏洞类型和利用技术

声明：本文所述技术仅用于合法授权下的安全测试，未经授权的测试属于违法行为，后果自负。

企业SRC支付漏洞与EDUSRC众测挖掘技术详解 0x1 前言本文详细讲解企业SRC支付漏洞挖掘技巧、EDUSRC漏洞挖掘案例以及众测实战经验。内容涵盖支付逻辑漏洞、UEditor编辑器漏洞、SQL注入等常见漏洞类型，并提供详细的操作步骤和验证方法。 0x2 支付漏洞挖掘技术一、两手机支付漏洞（优惠券复用）漏洞原理：利用应用支持多设备同时登录的特性，通过订单取消和并发支付实现优惠券重复使用。操作步骤：准备两部可同时登录同一账号的手机设备设备A：进入会员付费功能，使用新人优惠券创建订单并停留在支付页面（不支付）设备B：登录同一账号，取消设备A创建的订单（优惠券会自动返还）设备B：使用返还的优惠券再次下单两部设备同时支付，实现优惠券重复使用关键点：应用必须支持多设备同时登录同一账号取消订单后优惠券必须能立即返还支付过程需要严格同步操作二、优惠券并发重复使用漏洞漏洞原理：利用并发请求绕过优惠券使用次数限制。操作步骤：找到使用优惠券的订单提交接口使用Burp Suite抓取提交订单的数据包配置并发插件（如Turbo Intruder），设置并发数量为20 使用以下race.py脚本进行并发攻击：验证所有并发请求是否返回相同状态码和长度检查支付页面，确认多个订单均成功使用优惠券关键点：并发数量需要根据服务器性能调整请求间隔要尽可能短需要验证服务器是否真正处理了所有并发请求 0x3 EDUSRC中UEditor编辑器漏洞利用漏洞背景：UEditor 1.4.3版本存在文件上传漏洞，可导致getshell。操作步骤：信息收集：通过学校教师职工登录系统界面判断系统较老旧凭证爆破：收集职工号，尝试默认密码123456爆破登录功能测试：进入后台后查找文档管理功能中的编辑器版本识别：确认UEditor版本为1.4.3 漏洞利用：搜索"UEditor1.4.3漏洞"获取POC 通过Cookie判断系统为.NET(aspx) 使用POC获取上传路径上传webshell并用蚁剑连接关键点：老系统常用默认密码或弱密码编辑器功能点常存在上传漏洞需要准确识别系统语言类型以选择合适webshell 0x4 某EDU大学官网SQL注入漏洞漏洞位置：官网搜索框操作步骤：初步测试：输入 1' 触发报错并暴露绝对路径确认注入类型：POST型注入使用Burp Suite抓包并保存为txt文件使用sqlmap进行自动化注入：获取管理员账号密码并成功登录后台关键点：报错信息可帮助确认注入点绝对路径暴露有助于后续攻击需要完整保存请求数据包供sqlmap使用 0x5 众测案例：小程序sessionkey泄露漏洞漏洞原理：利用小程序手机号一键登录功能泄露的sessionkey伪造用户身份。操作步骤：分析小程序登录流程，重点关注手机号一键登录功能正常登录抓包，获取加密的sessionkey 解密sessionkey获取原始手机号信息尝试修改手机号为攻击者控制的号码并重新加密替换数据包中的加密字段尝试未授权登录当直接替换失败时，检查返回包中的明文参数：修改返回包中的这两个参数为攻击者手机号实现登录绕过关键点：小程序登录流程常存在会话管理问题即使主要参数加密，返回包可能泄露敏感信息需要测试各种可能的参数修改方式 0x6 总结与提升建议支付漏洞挖掘要点：重点关注优惠券、折扣码等促销功能测试订单创建、取消、支付全流程尝试多设备、多账号并发操作 EDUSRC挖掘技巧：老系统常存在默认凭证和已知漏洞编辑器功能是重点测试对象官网搜索功能可能存在注入漏洞众测经验：小程序安全测试要关注会话管理即使主要防护措施存在，辅助功能可能泄露关键信息需要全面检查请求和响应中的所有参数学习建议：多研究公开的漏洞报告和文档建立自己的漏洞案例库关注各种新出现的漏洞类型和利用技术声明：本文所述技术仅用于合法授权下的安全测试，未经授权的测试属于违法行为，后果自负。