实战·记一次从Vue前端到edusrc证书站的权限获取

1. 从Vue前端到edusrc证书站的渗透测试之旅

最近在挖src漏洞的过程中，我发现了一个很有意思的案例。这是一个采用Vue.js前端框架的edusrc证书站点，通过一系列漏洞组合最终实现了getshell。整个过程就像玩解谜游戏一样，需要一步步破解系统设计的缺陷。今天我就把这个实战过程完整分享给大家，希望能给正在学习渗透测试的朋友一些启发。

这个案例特别典型，因为它展示了如何从简单的框架识别开始，逐步深入挖掘，最终形成完整的攻击链。整个过程涉及前端源码分析、逻辑漏洞利用、未授权访问和文件上传漏洞等多个环节。最有趣的是，这些漏洞单独来看可能都不算严重，但组合起来就能造成很大的危害。

2. 目标识别与信息收集

2.1 初识目标站点

我是在一次常规的资产搜索中发现这个证书站的。当时使用了多个搜索引擎语法组合，确保找到的是真实的目标资产而非干扰项。这里分享一个小技巧：在搜索时，我通常会同时使用site、intitle和inurl等语法，配合逻辑运算符来精确筛选。

发现目标后，第一步就是进行基础的指纹识别。打开网站，按下F12查看开发者工具，很快就确认了这是一个Vue.js构建的前端应用。Vue框架的应用有个特点，就是前端往往会暴露很多有价值的信息，这为我们后续的渗透测试提供了很好的切入点。

2.2 前端源码分析

在开发者工具的Sources面板中，我仔细查看了网站的JavaScript文件。Vue应用通常会打包成几个主要的js文件，里面包含了大量的前端逻辑。通过分析这些代码，我发现了几点有趣的信息：

1. 网站的API接口结构清晰可见
2. 部分权限验证逻辑直接写在前端
3. 有些敏感操作（如文件上传）的接口地址直接暴露

这里特别要注意的是，前端代码中往往会包含开发人员留下的注释或调试信息，这些都可能成为突破口。比如我在一个名为api.js的文件中发现了这样的注释："//TODO: 后端需要增加token验证"，这提示我可能存在验证不完善的问题。

3. 漏洞挖掘与利用

3.1 Token验证绕过

接下来我开始测试登录流程。通过Burp Suite拦截登录请求，我注意到一个有趣的现象：当token为空时，系统会直接跳回登录页面；但如果给token随便赋个值，比如"test"，就能停留在主界面。

这说明系统的验证逻辑存在缺陷：

1. 第一层验证只检查token是否存在，而不验证其有效性
2. 真正的权限验证是在执行具体功能时才进行

这种设计上的分层验证机制，给了我们绕过初始验证的机会。我通过修改返回包中的状态码，成功绕过了部分权限检查。具体操作是：

1. 登录时拦截返回包
2. 将表示未登录的状态码从1改为0
3. 这样就能保持登录状态继续操作

3.2 未授权接口访问

在保持这个伪登录状态后，我开始探索网站的功能。通过开发者工具的网络监控，我发现了一些有趣的API调用。其中有个"/api/activity/list"接口，本应需要管理员权限才能访问，但在我的伪登录状态下居然可以正常调用。

这说明后端对部分接口的权限验证不完善。我进一步测试发现，大约有30%的接口都存在类似的未授权访问问题。通过系统性地枚举这些接口，我收集到了不少敏感信息，包括用户数据、活动记录等。

4. 文件上传与getshell

4.1 发现上传功能

在探索过程中，我注意到网站有个"证书上传"功能。通过之前的源码分析，我已经知道这个功能的接口地址是"/api/upload/cert"。尝试直接访问这个接口，发现它竟然不需要任何验证就能调用。

更令人惊喜的是，这个上传功能对文件类型的检查也存在缺陷。虽然前端做了文件类型限制，但后端几乎没有做任何验证。这意味着我们可以上传任意类型的文件，包括可执行的脚本文件。

4.2 绕过上传限制

我首先尝试上传一个简单的HTML文件：

<html> <body> <h1>Test</h1> </body> </html>

上传成功，并且返回了文件的访问路径。这说明上传功能确实存在漏洞。

接下来，我尝试上传PHP文件。由于之前的信息收集已经确认服务器是Apache+PHP环境，我准备了一个包含phpinfo()的测试文件：

<?php phpinfo(); ?>

上传后访问，成功显示了服务器的配置信息。这证实了我们可以执行任意PHP代码。

4.3 获取webshell

有了执行PHP代码的能力，接下来就是获取一个更强大的webshell。我选择使用哥斯拉马，因为它能绕过大多数常见的PHP禁用函数限制。

上传哥斯拉的shell.php后，成功建立了连接。通过这个webshell，我能够浏览服务器文件系统，发现这个系统规模比想象的要大，涉及多个子系统和数据库。不过出于道德考虑，我没有进行进一步的横向移动。

5. 漏洞分析与修复建议

5.1 漏洞成因分析

回顾整个过程，这个系统存在的主要问题包括：

1. 前端验证与后端验证不一致
2. Token验证逻辑存在缺陷
3. 接口权限控制不严格
4. 文件上传功能缺乏有效验证
5. 敏感信息过度暴露在前端

这些问题单独来看可能都不算严重，但组合起来就形成了完整的攻击链。特别是Vue框架的应用，由于前后端分离的特性，更容易出现前后端验证不一致的情况。

5.2 修复建议

对于开发人员，我建议采取以下措施：

1. 统一前后端的验证逻辑
2. 对所有接口实施严格的权限检查
3. 文件上传功能应该：
   • 检查文件内容而不仅是扩展名
   • 限制上传目录的执行权限
   • 对上传文件重命名
4. 避免在前端暴露敏感信息
5. 实施完善的Token验证机制

对于安全人员，这个案例告诉我们：

1. 不要忽视看似低危的漏洞
2. 要善于将多个小漏洞串联利用
3. 前端框架的应用需要特别关注验证逻辑
4. 信息收集阶段要尽可能全面

6. 经验总结与思考

这次渗透测试给我最大的启示是：安全是一个整体，任何环节的疏忽都可能导致整个系统的沦陷。特别是在现代Web应用中，前后端分离的架构虽然提高了开发效率，但也带来了新的安全挑战。

在实际操作中，我发现很多漏洞都是由于开发人员的安全意识不足造成的。比如认为前端验证就够了，或者觉得某些功能不重要就不做严格验证。这种思维往往会给系统留下严重隐患。

另外，渗透测试需要耐心和细心。在这个案例中，我花了大量时间分析前端代码和接口行为，这些看似枯燥的工作往往是成功的关键。有时候一个小小的发现，比如那个"undefined"的token值，可能就是突破口的开始。