奇安信攻防社区-记一次登录框0-1渗透突破

记一次登录框0-1渗透突破

记录一次公司渗透项目0-1 突破登录框案例,操作简单但思路足够细心连贯,无论是刚入门漏洞挖掘还是对于登录框无从下手的师傅都能有所启发,将我所做的每一步操作及为什么这样做的思路详细阐述

> 记录一次公司渗透项目`0-1` 突破登录框案例,思路简单但操作足够细心连贯,无论是刚入门漏洞挖掘还是对于登录框无从下手的师傅都能有所启发,将我所做的每一步操作及为什么这样做的思路详细阐述

### 转载

欢迎转载文章提供学习,但请标明社区原文地址尊重社区内原创作者劳动成果,个人公众号：月的造梦星球, 欢迎讨论学习,共同进步

### 信息收集 and 前台功能

开局登录框根据域名的`#`符号与`Wappalyzer`插件得出这是使用`Vue.js`站点并且也有经典的`Webpack`打包器,那么前期可以除去功能点可以选择的渗透思路有如下,基本是逐一尝试,只要达到目的就可以停止,主线任务进入管理员后台,支线任务信息泄露或其他具有危害性漏洞

```php
1. 常规接口未授权

2. 手法拼接#未授权页面或VueCrack插件主动拼接页面尝试触发后端接口

3. 收集全量的chunk异步js通过正则脚本提取接口
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002066978-01321d80-9811-4c01-992b-0c454794cc25.png)

登录测试发现可进行用户名枚举,反馈并不是账号和密码错误,但是既然`admin`用户是存在的先上字典在后台爆破,小字典足矣,`TOP3000`没出货个人感觉更复杂的字典也没有意义, 有一种特殊情况`admin`用户可能只是自带的不见得会投入系统使用,大部分都会另起一个新的账号作为管理员,这是我渗透这么久发现比较常见的情况但爆破肯定还是需要的,毕竟弱口令挂上等捡漏就行

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002066994-f16a44d2-7251-4407-a07f-165c80a7ca40.png)

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002067039-8eb41269-16f5-492f-9c81-c3c3b8138603.png)

再利用单双引号看回显并无反应,万能密码,均无效,这也是非常正常的情况,快进到接口测试；发现功能点提供的后端地址是一处新的域名,也符合前后端分离情况,后续的接口拼接也要在提供服务的域名基础上进行

```php
api-xxxxxx.com  # 提供服务地址
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002066964-8ee727a1-3b84-4e03-ab2b-3150bce6af0e.png)

### 未授权接口测试

雪瞳接口捕获到大量完整带斜杠`/`绝对路径接口,并且在前期功能点测试也发现前端展示页面是`a.com`或后端提供服务地址是`b.com`那么显然我们的接口也需要放置到`b.com`,这一场景在我之前发布的文章案例中也有体现,感兴趣师傅可以再看看这篇文章

[奇安信攻防社区-攻防渗透集锦JS泄露突破多个后台](https://forum.butian.net/share/4538)

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002067131-5a96d64a-5f2c-4ee8-9ad8-3e5c993698dc.png)

接口的拼接大部分时间是有公式化的操作的,假设站点鉴权很糟糕基本上第一波`GET`拼接拼接就会出大量的未授权信息,再利用未授权信息的蛛丝马迹；如泄露的账户、工号特征,制造账户本固定密码进入后台,这也是我一直以来碰到最多的情况,再不济也可以能找到`export`等导出接口获取业务数据

- - - - - -

插件提取到接口第一次拼接无反应,均回到后台,前台测试功能通过登录框确定了并不存在前置目录,并且响应码为`500` 回显也是请"先登录"没有鉴权信息,这个响应证明接口的放置处理肯定是正确的。

```php
GET XXXXXXXXXX
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002067546-1db0b391-1ed3-4adc-b02e-6b8b533dcc6c.png)

`POST`请求模式更糟糕了,没有一个有效信息请求,全部被`500`鉴权拦截在外,后续对进行接口简单的`Fuzz`也是一无所获,因为尝试的是`b.com`提供服务的域名接口,但还需要尝试前台展示的域名,但这里我还是一无所获,所以不贴图,但在实战中任何操作都不能放过

```php
POST xxxxxx

Content-Type: application/json

{}
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002348960-979b791d-6514-4106-8a9c-39de68c80a19.png)

### \# 哈希路由页面测试

第一个方案常规接口拼接没有出货,转而利用`VueCrack`场景访问路由页面尝试触发其他功能接口,是否会有其他信息出现,这个时候需要一个个点访问,`BP`就这样开着,先记录所有接口再说

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002067415-bb37ac93-79bb-4af6-84a9-9cdcfdf5bc94.png)

跳转到这种页面就按照正常测试功能点一样,输出值并观察接口是否会被调用查询,导入导出可以测试上传、`SSRF`等漏洞

```php
#/userAccount
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002067503-c70af4d9-2738-4f66-8e71-292fa09c9c80.png)

搜索处可以测试注入,并且使用出现排序处不要忘记测试经典的`order by`注入,跳转了几个地方都无法调用功能点,遂放弃

```php
/#/SpManagement
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002067658-cf200e30-c172-41df-a5ca-740762859853.png)

调整至注册页面发现可以调用功能进行注册,成功注册返回有效的`jwt`,意味着已经有了低权限的账号

```php
/#/register
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002067801-fbe85055-23d0-4a29-8426-5bf26b781263.png)

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068077-549d00d5-ee78-46d9-9b0a-15e9696f47db.png)

但是利用账号密码去进行登录却无法登录系统,提示部门错误应该还是有限制,但是上方成功注册得到了`JWT`相当于我们已经有了一个低权限的账号,携带未被系统"认可"的`JWT`测试接口同样也可以测试未授权问题

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002067906-2d3befaf-b39a-4182-827b-8d4d49e9070a.png)

第一次正常`GET` 携带`JWT`拼接只有一个接口返回有效的几百个学生敏感信息,`POST`也没什么货这个时候可以尝试对`student`学生进行`Fuzz` 看是否会有老师等接口信息返回

```php
GET /student/export
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068073-39db14d2-f57d-415a-a55a-df567e8f54f3.png)

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068189-5357bf8b-2200-42d6-9e5e-756ab63255b0.png)

手工替换一下参数,因为过于明显,学生单词变换为老师顺利拿到系统全部教职工信息,表格内又出现了工号,那么又可以尝试爆破进老师个人后台,此操作可以留在后面将所有接口分析结束再进行

```php
/teacher/export ------>老师列表
/student/export  -------> 学生列表
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068299-e0c44ed9-396e-415e-99ea-2bb835076f10.png)

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068497-99b06c11-0599-4d31-a3fd-8d34138657be.png)

### 携带页码参数拼接

只有注册功能的`JWT` 携带接口拼接出现了一部分信息泄露,除了老师爆破学号工号进入个人后台,貌似没什么有价值的东西支撑我下一步渗透进入管理员后台,但直觉告诉我 这个站点大概率是有东西的,只是我还没有发现契机,因为测试功能时`BP`一直开启记录着流量,转而去分析数据包,经过长达二分半的分析,让我发现了网站接口不寻常的地方

- - - - - -

某些接口会携带页码参数`pageNum`和`pageSize` 这其实是一个组件,用于分页查询,在之前的案例中我也利用过此方法在已有数据的基础上通过页面功能获取更多数据,那么接口主动携带了页面参数,我不妨也模仿它同样也在爆破的基础上也进行携带呢

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068509-5f3253a2-58c3-45bb-8bc9-1af1b357fcd9.png)

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068538-d25422b4-2a6d-4eca-98a8-91aac0ffcb88.png)

拼接页码参数后的信息泄露比第一次多,证实思路是可行的,部分接口表格内泄露了系统全部学生的二要素信息,数据量在`3k+`

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068612-7e28967f-a6c6-496a-a2e2-adb5d23809d4.png)

```php
/plan/task/manager/list/export?pageNum=1&pageSize=99 # 泄露3k+二要素
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068648-5f0d7313-9934-496c-b63a-3be57b56885d.png)

并且`online`接口的反馈是各地不同的职业学校,不难联想到到系统的受众群体就是大三医学院的实习学生

```php
/online/card/manage/list?pageNum=1&pageSize=99 # 校园列表
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068932-a9d3988e-e56f-47ca-8cab-c6f5b65102ad.png)

这里受众群体有老师有学生,那么账号大概率就是手机号了,并且开发者的提示也印证这一点,随便选择表格内学生的手机号作为作为账号密码乱填反馈密码不正确,典型用户名枚举,现在我已经拿到了大量学生的账号,肯定会有部分学生存在弱口令情况,只要进行密码喷洒进入一些学生后台只是时间问题

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068884-5e97e8b1-72b6-4e7d-9395-74772bde5a14.png)

### /相对路径接口

除了我发现接口会主动携带页面参数外,还发现了不带插件匹配到的相对路径接口；众所周知插件匹配的接口肯定是不全面的,笔者个人觉得最全的提取方式还是提取所有的加载的`JS`和未加载的异步`JS`再利用正则匹配全部的接口 ；所以在逐行查看数据包时就发现了这一被插件遗留的接口

```php
/role/register
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002068937-3c8f7891-91b2-4993-849a-b2bfce09db0f.png)

我习惯性讲匹配的接口放置到一处文本内,方便我对接口进行修改,我全局查找`/role/register`接口,发现未在雪瞳插件检索的范围内,那么这个接口从何而来呢

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002069168-fd2bdd16-9ac5-44e4-9fc0-bf8de173b39a.png)

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002069405-e28a19fa-36a1-43da-91e5-02a4d36f00e2.png)

回到浏览器全局搜索此接口,发现原来并不完整,这类接口由于前置少了`/` 插件会检索为相对路径,其实插件是匹配到了这种接口的,同样放置到了插件的相对路径模块

```php
role/register
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002069528-7b63e6dd-2c6d-4fae-8c28-6fbca69fb4e4.png)

一千多个相对路径接口,并且已经有低权限的`JWT`再携带页码参数拼接,很明显又会出现新的信息了,其实就算这个接口没有被我发现, 因为我对于插件提取的接口已经没有其他敏感信息了,上文提到网站使用了`webpack`打包那么异步`JS`不在少数,常规接口结束下一步操作我会收集到足够多的`JS`通过正则脚本批量提取,那么也会发现这些接口

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002069359-2c394740-89f5-49a2-aff8-3b6bec430d19.png)

相对路径前置没有`/`所以在爆破前加入`/` ,携带鉴权参数和页面参数再进行爆破

```php
GET  /**xxxxxxx**?pageNum=1&pageSize=99
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002069575-e2cf4520-836d-4a65-90d1-79f858a6080f.png)

大量信息泄露,内部资源泄露,挑选一部分证明危害,

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002069731-4beff674-66c1-4c2f-9e7e-79b3e2147c72.png)

人员信息列表

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002069759-181d8eaf-b712-4bcd-93b1-a6e5e1d6edf7.png)

全部类似医学生的课题研究,访问地址可以下载详情,

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002069827-fd46c1c0-6f23-45e0-aa60-e8c280597eeb.png)

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002070344-53b78801-7ec4-46f1-a4a6-a2328e29c573.png)

新的二要素泄露

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002070261-15d437e9-2259-45f7-8ac9-8c1288560d40.png)

翻阅接口找到管理员账号,还是复刻经典突破操作,弱口令进入丝滑进入后台

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002070626-20e8a5bd-d242-42a0-92a8-cdde783c712b.png)

```php
m01/abc123
```

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002070329-68ec3bac-94bc-4467-87e1-7624273d310b.png)

![](https://cdn.nlark.com/yuque/0/2025/png/22621815/1763002070673-deafd232-8c87-449e-ae89-d4b1e555d94c.png)

### 结语

渗透过程相对简单其实每一步操作都有迹可循,完整从`0-1`讲解一次我对于登录框的突破过程,归根结底还是找到信息组合工号本,密码喷洒进入,测试不可能如此顺利,您看到的顺利只不过我将坑点在文章外已经踩完, 文章看的开心请点点推荐,不时更新有趣的渗透`tips`

发表于 2025-11-13 11:22:43
阅读 ( 3177 )
分类：渗透测试

3 条评论

jxx 2025-11-13 21:31

师傅，我想请问一下如何快速的搜集js啊

Sakura 2025-11-14 13:21

学到了，提到的几个插件也很好用啊

厉飞宇 2025-11-21 11:21

厉害厉害，思路清晰啊大佬