文章总结： 本文介绍了一次证书站点审计过程，作者通过分析JavaScript代码发现权限提升漏洞。首先发现未授权接口获取用户信息，然后通过JS注释找到管理员列表接口，最终成功修改用户roleid获得管理员权限。文章展示了从普通用户到管理员的完整提权过程，强调了代码审计和JS分析在渗透测试中的重要性。 综合评分： 85 文章分类： 渗透测试,代码审计,漏洞分析,WEB安全

某证书站审计 js 从普通用户直通管理员

原创

zkaq – bielang

掌控安全EDU

2025年12月16日 12:00 江西

扫码领资料

获网安教程

本文由掌控安全学院 – bielang 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn ）****

一、前言

某日新上了一个证书站点，挖掘了一下午，交完报告觉得稳了，第二天传来噩耗，没人家 手速快，全部重复：

于是重新打点，有了下文

二、正文

某日新上了一个

开局的权限：

里面的功能点都很少，查看数据包得知鉴权方式为：

logintoken=xxxxxxx

每一个功能点都点开看看，然后看一下数据包：

发现并没有什么有价值的数据包，但是后台插件 xiayue（推荐，有权限时候这玩意就是好用）给我扫出来一个未授权:

重放：

虽然回显了用户 id 和用户密码 123456 以及鉴权字段logintoken，但是事情真的这么简单吗？尝试登录发现并不行，替换logintoken也不行，因为logintoken 还做了一个时间戳的检验：

可以看到最近的一个都是 11.12 日的，已过期很久了。

隔了一天，我提交的另外三个洞 都重复了，只能继续看这个，然后我开始手工看接口：

先看了当前这个接口能不能检索到：

然后跟一下其他的接口，跟了好几个，都没用，全是垃圾接口。

发现这个 js 中中文注释是比较多的，所以直接检索“管理”：

看见一个加载管理员列表:

非常的贴心，全都注释的明明白白的，构造表单查询：

只要鉴权字段就行了，查询出全部的用户。

密码为 123456 的全都登不上去。

解密 md5 加密的密码：

能成功登录，但是呢，是一个测试账户，权限还是和开局一样，没有卵用。。。。

继续看 js,添加管理员：

构造表单：

已经把上面的 字段都填好了后发现还是缺少字段，怎么办呢？我直接把 js 复制给 ai,一把梭哈：

给了我一个 job 字段：

信息完整，但是部门不对，回到之前哪个数据包中：

随便找一个，注册成功，以为结束了。

尝试登陆：

nmlgb，没法，再去看 js：

难道是没有启用吗？

在构造一个表单呢：

lid 值 从哪里来呢，当然是之前的哪个获取所有用户的数据包中：

启用成功，还是登录不了，难道是注册的用户权限的问题？

再审 js:

再次构造表单：

改成一个领导的权限，依旧登录失败。

不得不放弃该账号的操作了，开局有一个通过 cas 传递的账号，那我直接更改他的 roleid：

改成了领导的，发现只多了一个功能点，没用。本来想找一个能够更改密码的接口，直接改别人的密码登录的，但是没有找到这个接口，且当前账户的密码我也未知。那只能改之前的那个测试账户的 roleid 了，但是有一个问题就是我不知道哪一个 id 值对应管理员的用户，尝试 fuzz:

最后发现居然是 0：

登录：

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

查看原文：《某证书站审计 js 从普通用户直通管理员》