简述

一个不需要技术就能挖到的洞 顺便记录下摸js的思路

系统是一个可注册且不需要审核的系统，这种系统就直接联想到可能越权之类的问题

开挖

先手就是一个注册

登陆进系统后一眼望去全是空白，没什么功能

还是先摸摸已有的功能，这里存在一个切换角色的功能

抓包看下该处请求包，没有用cookie，使用的Authorization字段进行认证，接码jwt的payload部分，这里参数存在角色id，原始包返回为jwt

所以这一看就知道怎么弄了吧

改为1后发包，返回重新签名后的jwt，前端js会获取并重新设置Cookie的相应字段

上述操作完成后就直接切换为了管理员角色

然后就继续摸系统功能，不过。。摸不动摸不动，我这老菜狗了

摸摸js

一般先看baseurl，可以先登录下看请求包是请求的base地址，这个系统的base路径为/api/，所以可以猜测大部分接口请求地址为http://xxx/api/xxx

不过一般的系统是直接提交到http://xxx/login.php，不能确定的话可继续搜下js，这直接确定baseurl为http://xxx/api/

深入app.js，可看到接口请求路径，参数根据实际实际情况来确定

除此之外可全局搜索upload、POST请求方式之类的进行查找接口
在确定部分js所在的位置后可根据接口特征写正则进行匹配，也可排版慢慢摸

然后这个系统就只摸到了一个未授权泄露一丢丢个人信息，然并卵啊啊啊

菜是真滴菜