某次护网我们学校是靶标，这不得搞一手，开局一个登录框，身为本校学生我居然不知道密码是啥……使用 sso 跳转登录 抓包

![图片](/media/202606/3946b2c81a304a50842d80229030358e8093.png)

![图片](/media/202606/5ae2b716a9db4e6abf89342d8db924d04573.png)

username 是由 sso 直接传到这个系统的，没有其他参数，测试发现存在任意用户登录，漏洞+1

进入系统首先点击个人信息，是否可以水平越权获取大量敏感信息

个人信息是通过在 url 传入 uuid 查询的，替换 uuid 可以越权，但是 uuid 不可爆破，用处不大，但是删除 uuid 后直接显示系统所有用户信息共计 5w+

![图片](/media/202606/46d1a9f7f7c7418999954dc84f19efc56362.png)

当时护网已经快结束了，看到这就没看了，但是总感觉有洞没挖

我们学校也不像自己会开发的，先去 fofa 找通用，找到了几个其他学校的资产，有两个还有注册接口，抓包，用这个数据包测试我们学校，成功注册

![图片](/media/202606/a69d0344ebc347b5bf58a1485ad18d443261.png)

个人信息包其实是有个图片的 之前没管过，但是闲着也是闲着

![图片](/media/202606/e8c72c7dc3ac455486140ea12c7d05ef8398.png)

base64 转图片，找在线工具就可以转换之后是个二维码……扫描之后是个接口 /api/person/personnel/number?number=

number 尝试拼接为学工号，可获取系统内个人信息

![图片](/media/202606/881f7458c50e41ffbd0c6f314a953f882942.png)

这个接口有问题，那是不是其他接口也会呢，js 用 hae 直接提取接口，爆破

爆破接口没截图，主要信息泄露有两个 处除了 personal 外，还有一个 personal-id 泄露全校用户信息，此外，还有一个这个

![图片](/media/202606/7014f745645c40479e4d288ebdef41188097.png)

泄露 100+摄像头，用海康官方官方软件扫描 c 段，用这个 泄露的密码

![图片](/media/202606/4aafe4b1cc7f4c4ba070e749ca9d10331154.png)

成功接管 84 个摄像头

个人信息处还可以上传获奖信息，居然不是传到云

![图片](/media/202606/f5294aacb1fa44a4a96cb24e0bcc69fa7648.png)

上传恶意代码会直接 404，不确定这个目录是不是静态，但是可以上传 html，储存 xss+1

![图片](/media/202606/0d8ba4f47a8b439a8d1d3d81a84842af1043.png)

其他学校站点也存在此类问题，包含某 985 证书站，证书+1

某EDU通用系统渗透测试