Vue越权延生的变种玩法-菜单越权

admin 2022年9月5日08:09:56安全文章评论20 views1040字阅读3分28秒阅读模式

前言: 和Tuanoan师傅交流了Vue这块的资产问题,确实站点能注册的点比较少,今天带来种变种玩法挖掘菜单越权。


 前面说过了,Vue越权的原理都是基于系统菜单,访问菜单的Url,后台通常只鉴别是否有token,不具体鉴别用户身份,那么,前后端不分离呢? 有些站点菜单可以从本地Cookie入手。


看最近一次打点

拿到某站点账号   xxx(工号、学号 )  ,通过手册发现默认123456,

把burpu历史包url放到Jsfinder爬爬链接,

Vue越权延生的变种玩法-菜单越权


爬到菜单两处Sql接口,

Vue越权延生的变种玩法-菜单越权

Vue越权延生的变种玩法-菜单越权



通过这两处未授权拿到教师的卡号,然后某Oa某登录接口可Fuzz,有时候就这么其妙,二级目录有登录fuzz,能绕过主站的加密和

神器123456梭哈

Vue越权延生的变种玩法-菜单越权

nice,进去后摸到某有意思的点,如图,

Vue越权延生的变种玩法-菜单越权

数据库交互是通过写入html模板,然后通过调用类似html?sql.ashx这种格式来和数据库交互,这里大概率会有sql注入

找到一处参数,sqlmap_Run

Vue越权延生的变种玩法-菜单越权

这一处很可惜,数据库查询写入键值了,一处盲注,,鸡肋

测试的重点是越到管理,Sql抛开不管,,

   越到管理主要是能找到管理的菜单,(也有人说这是路由),利用token只鉴权是否有访问系统权限但不对管理路由做鉴权来越。。

  结合第一处未授权和第二处Sql注入,发现了一处很有意思的点。如图

Vue越权延生的变种玩法-菜单越权

我在个人session存储里看到roles、roleData、userQXData的值是明文的,同时里面刚好有一处布尔值:

是否是班主任?值为0,那么,改为1

Vue越权延生的变种玩法-菜单越权

越了一半,拿到班主任这一块的路由菜单了。

但还记得第一处拿到未授权的信息中有一处权限的模块,刚好对应这里的roleData,通过搜索admin,

Vue越权延生的变种玩法-菜单越权

吧权限的content加入本地session中,

Vue越权延生的变种玩法-菜单越权

刷新系统,看路由是否回吧管理员的路由分配过来

Vue越权延生的变种玩法-菜单越权

如上图,很nice,完全越到超管了,接管了管理的路由,,同时完成了一半,另一半访问菜单是否会对身份鉴权呢?

如图,对token进行了鉴权,

Vue越权延生的变种玩法-菜单越权

因为这系统是通过sso统一认证访问的,这里通过统一获取某token,

Token=g1VsN7fLiYMWtF7a9KSUHRRWJF2SxTld8I4IbxWjGv3KMTLYBFMM%2BEpkxDGSdCez

Vue越权延生的变种玩法-菜单越权

越了,nice,完全接管了

Vue越权延生的变种玩法-菜单越权


小结:

先是通过burp历史包用Jsfinder爬取到系统Url中的未授权到发现本地session明文权限控制,思路都是一样的,就是去挖管理路由,挖到了就能越。



原文始发于微信公众号(Qaseem安全团队):Vue越权延生的变种玩法-菜单越权

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月5日08:09:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Vue越权延生的变种玩法-菜单越权 http://cn-sec.com/archives/1276229.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: