由于漏洞还没有修复，这里直接码死师傅们看个思路就好。 通过icp备案查询找到了此edu证书站的小程序  使用自己手机号登录进入，点击此功能

通过信息打点找到了一处边缘资产。 开局登录框  尝试弱口令无果，随手一个单引号报错，两个单引号正常，猜测存在注入。 ![](https://nc0.cd