文章总结： 本文记录了针对某证书站的渗透测试过程，通过JS逆向分析解密了AES加密的通信数据，利用Burp插件自动化解密发现垂直越权漏洞，通过遍历用户ID获取了师生及管理员的敏感信息，最终成功接管管理员账户并导致全站2万多用户数据泄露。 综合评分： 84 文章分类： 渗透测试,逆向分析,WEB安全,数据泄露

某证书站JS逆向接管全站2w+用户

原创

zkaq-我会发着呆 zkaq-我会发着呆

掌控安全EDU

2026年1月15日 15:53 江西

扫码领资料

获网安教程

本文由掌控安全学院 – 我会发着呆 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn ）****

前言

本次渗透测试是某证书站通过JS逆向分析，进行垂直越权，接管并获取系统内2万+用户账户和敏感信息，是请求包与响应包双重加密的一个比较经典的加密场景。本文描述了对加解密代码的分析及后续解密工具的利用，总体来说比较简单，适合作为JS逆向的入门案例，遂写了这篇文章供大家参考。

渗透测试

首先来到网站，观察到有注册功能，直接注册一个账号进入系统

进入系统后，找到个人信息功能进行访问，查看数据包，发现请求参数和响应数据都进行了加密，根本看不出来是啥

于是打开F12，开始进行JS逆向分析，首先我们看到，请求和响应都存在encryptData字段，于是对encryptData进行全局搜索，很快定位到如下关键代码逻辑，这段代码的作用是对前后端通信的请求参数和响应数据进行统一的 AES 加解密处理。将我们请求的原始参数 t.data 序列化为 JSON 字符串，并通过 encryptByAES 进行加密，最终用只包含 encryptData 的对象替换原参数。checkResponeEncrypt 在响应返回后执行，当检测到响应中存在 encryptData 字段时，使用同一套 AES 解密函数进行解密，并将解密后的字符串解析为 JSON 对象赋值给 e.data，同时删除 encryptData 字段。

此时我们继续向下追踪 encryptByAES 的实现，定位到核心加密代码和解密代码：

通过分析上述代码，确定加密方式为AES/CBC/PKCS7 实现，继续追踪最关键的key和iv，如下

结合前面的JS逆向分析，我们已经了解了整套加解密流程，接下来就是对数据进行解密，查看是否有漏洞利用的可能。对于自动化加解密的实现，我这里使用的是bp中的CloudX插件，将个人信息数据包发送至插件，添加规则如下，因为这里是请求包与响应包同时被加密，这里我们需要同时添加两遍规则

再次发送请求，发现请求包和响应包都已经被解密，再次经过bp的历史数据包也会被自动解密，爆破和重放模块的数据包也是如此，非常方便

对数据包进行解密之后，我们发现控制获取数据的参数为userid，返回了我们注册时填写的敏感信息（手机号、身份证号，密码等），这样是不是可以遍历一下id，从而造成越权呢，在系统内翻了个底朝天，终于在一个课程报名人员处发现返回了报名课程人员的手机号和邮箱等信息，经过测试，id竟然不是手机号，而是邮箱的前缀，studentXX。

直接将ID进行替换，发现成功越权访问到了studentxx的信息（身份证、手机号、邮箱、密码等信息，比较敏感，原谅厚马）

接下来直接对后面的id进行遍历，直接获取到了大量学生的个人敏感信息。那这里我们想到，既然student会返回学生的信息，那么teacher会不会返回老师的信息呢，构造id参数进行请求，果不其然，直接返回了教师的个人敏感信息

同样进行遍历，获取到了大量教师的个人敏感信息，这里发现遍历出用户的密码都是一样的，对获取到的MD5格式密码进行解密，很幸运，解密出来了，直接接管站内大量用户账号

这里再次进行垂直越权，获取到了超级管理员的信息，密码依旧，直接登陆接管超级管理员账户，在用户管理处，泄露了2万+的个人敏感信息，凭借前面的越权漏洞，可以接管所有泄露密码的账号并获取所有用户的敏感信息。

总结

在这类 JS 逆向场景中，核心思路是先定位数据被“加工”的入口和出口，再反推中间的加密逻辑，应优先从网络请求入手，对比明文参数与实际发送的数据差异，快速判断是否存在统一的加密封装；随后在前端代码中重点搜索 encrypt、decrypt、AES、encryptData 等关键字，当确认加密点后，先理清加密时机、参与字段、输入输出格式，再结合调用栈逐步还原密钥、模式、填充方式等细节。整体原则是“先流程、后算法；先定位、再细化”，这样可以在复杂工程化前端中高效完成 JS 逆向分析，从而能够更加顺利的对后续漏洞进行利用。

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-我会发着呆 zkaq-我会发着呆《某证书站JS逆向接管全站2w+用户》