Vue越权延生的变种玩法-菜单越权

前言: 和Tuanoan师傅交流了Vue这块的资产问题，确实站点能注册的点比较少，今天带来种变种玩法挖掘菜单越权。

 前面说过了，Vue越权的原理都是基于系统菜单，访问菜单的Url，后台通常只鉴别是否有token，不具体鉴别用户身份，那么，前后端不分离呢？ 有些站点菜单可以从本地Cookie入手。

看最近一次打点

拿到某站点账号   xxx(工号、学号 )  ，通过手册发现默认123456，

把burpu历史包url放到Jsfinder爬爬链接，

爬到菜单两处Sql接口，

通过这两处未授权拿到教师的卡号，然后某Oa某登录接口可Fuzz，有时候就这么其妙，二级目录有登录fuzz，能绕过主站的加密和

神器123456梭哈

nice，进去后摸到某有意思的点，如图，

数据库交互是通过写入html模板，然后通过调用类似html?sql.ashx这种格式来和数据库交互，这里大概率会有sql注入

找到一处参数，sqlmap_Run

这一处很可惜，数据库查询写入键值了，一处盲注，，鸡肋

测试的重点是越到管理，Sql抛开不管，，

   越到管理主要是能找到管理的菜单，(也有人说这是路由)，利用token只鉴权是否有访问系统权限但不对管理路由做鉴权来越。。

  结合第一处未授权和第二处Sql注入，发现了一处很有意思的点。如图

我在个人session存储里看到roles、roleData、userQXData的值是明文的，同时里面刚好有一处布尔值:

是否是班主任？值为0，那么，改为1

越了一半，拿到班主任这一块的路由菜单了。

但还记得第一处拿到未授权的信息中有一处权限的模块，刚好对应这里的roleData，通过搜索admin，

吧权限的content加入本地session中，

刷新系统，看路由是否回吧管理员的路由分配过来

如上图，很nice，完全越到超管了，接管了管理的路由，，同时完成了一半，另一半访问菜单是否会对身份鉴权呢？

如图，对token进行了鉴权，

因为这系统是通过sso统一认证访问的，这里通过统一获取某token，

Token=g1VsN7fLiYMWtF7a9KSUHRRWJF2SxTld8I4IbxWjGv3KMTLYBFMM%2BEpkxDGSdCez

越了，nice，完全接管了

小结:

先是通过burp历史包用Jsfinder爬取到系统Url中的未授权到发现本地session明文权限控制，思路都是一样的，就是去挖管理路由，挖到了就能越。

原文始发于微信公众号（Qaseem安全团队）：Vue越权延生的变种玩法-菜单越权