确认目标

个人还是习惯挖web的洞，进来小程序后点了点功能点，随便测了测，无果，果断转向web，看能否有什么新的发现

访问后发现是一处登录页面，作为合格的脚本小子，管他什么先扫一波

JSFinder发现了8条url，其中的/TrainManage/Home/PxschoolRegister引起了我的注意

访问后发现可以进行注册，那么接下来不就好办了吗，注册，登录......getshell！

注册好以后尝试登录，却登录不上去

陷入沉思......，起初还以为哪里填错了，后来发现还是登录不上去，细心的我看了看请求包和JS，发现了原因

请求包中的type是admin，但我刚刚注册的那里显示的却是 “培训机构注册”

看对应的JS，觉得type应该填写 “pxjg”

改了下登录包中的type

这不就登录成功了嘛

后来我又重登了一遍，在登录流程的时候发现了这个包，通过传入的roleCode返回路由列表

这个包一定是前端自动请求的，也就是前端中含有roleCode的值，回顾前面的登录处JS，高权限用户肯定也是从这里登录的，所以我觉得前端应该也存在高权限用户的roleCode

在JS果然找到了不同的roleCode

拼接到那个接口中，返回了许多与这个用户权限不匹配的路由

赶紧试一下

越权成功！