记一次接口未授权+账号枚举+越权的漏洞挖掘过程

打开测试的网站发现网站用到了wepack

看到有个 app.***.js ⽂件，点开它看到有个 .js.map 后缀，直接去下载它的 webpack源码 到本地，其实也可以直接在浏览器那⾥看的

这个要⽤ npm 环境才能将webpack源码进行一个还原

那么接下来进⾏⼀个简单的JS代码查看，发现接⼝有很多，但是都访问不了，不知道它是不是已经弃⽤它了

但是有点意思就是看到有个默认密码 Qw123456

除此之外貌似没⻅到什么特别的东⻄，那么就拿出前端扫描神器 PackerFuzzer（下载地址在末尾)

python3 PackerFuzzer.py -u https://xxx.xxx/ -t adv

工具跑完就会自动⽣成⼀份报告，进去⼀个⼀个的看，哦？发现了⼀点东西

{"data":{"account":"zj46","password":"Qw123456"},"errmessage":"success","status":200}

这不就是账号密码，而且这个密码也在上⾯的JS文件里面出现过

登录抓包，既然有 zj46 账号，它肯定会有其它的专家账号，我直接⽤BP去爆破⼀波，密码估计都是⼀样的

经过测试，⼤概有几十个账号吧同时存在越权漏洞使用专家43账号登录这里尝试通过userId参数将专家45，账号名改为彭于晏

       总结多亏了PackerFuzzer工具发现了敏感信息！喜欢的师傅可以点赞转发支持一下谢谢！