文章来源:先知社区(lazy小远)
原文地址:https://xz.aliyun.com/t/10978
0x01 前言
遇到一个站,后端是Node.js写的,对于这种类型的站点,一般比较难getshell,但也实现了最终的目标,拿到后台权限。
0x02 信息搜集
先进行常规的信息搜集,子域名扫描、端口扫描、目录扫描等
这个站后端脚本语言是Node.js
目录探测发现404界面也极像Node.js的404页面,后面重点关注js文件
0x03 突破接口
在进行目录扫描的时候,发现了一个有用的目录:
$ . ajax ({
url : host + "/agent/getPlayerInfo" ,
type : "post" ,
dataType : 'json' ,
headers : { "content-type" : "application/json" },
data : JSON . stringify ({ "uid" : uid })
}). done ( function ( data ){
console . log ( data );
0x04 登陆后台
通过上述接口,可以通过用户的uid获取用户的用户名,将所有的用户名作为字典,放入burp爆破弱口令
成功爆破出多个用户存在弱口令
0x05 进入管理员后台
利用爆破的用户登陆后台,发现不是管理员权限
由于是前端判断且通过document.write函数渲染界面,因此可以前端绕过,直接修改返回包中的agentClass值为管理员的值,就可以进入到管理员界面,且后端所有接口也都如上面一样不存在鉴权,因此管理员的后台所有功能都可以使用。
关 注 有 礼
还在等什么?赶紧点击下方名片关注学习吧!
推 荐 阅 读