文章总结： 本文记录了一次通过参数Fuzz获取管理员权限的渗透实战。作者在遭遇登录障碍后，利用修改Cookie和Vue路由绕过限制，发现未授权的用户管理接口。通过使用CaA插件对新增和修改接口进行参数模糊测试，成功爆破出关键参数及levelId权限字段，最终构造请求创建高权限账号并接管系统。文章展示了面对未知参数接口时的测试思路。 综合评分： 86 文章分类： 渗透测试,实战经验,WEB安全

渗透测试fuzz参数拿下网站管理员权限

听风安全

2026年1月19日 10:49 北京

以下文章来源于有恒安全 ，作者有恒

有恒安全 .

安全技术知识分享

免责声明

由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

公众号现在只对常读和星标的公众号才展示大图推送，

建议大家把听风安全设为星标，否则可能就看不到啦！

找到一个资产，但是没有收集到账号密码。

开启抓包会报错400

发现修改cookie中的一个参数xxx改成任意参数名就可以绕过

因为网站用的是vue，所以可以直接通过路由守卫绕过，访问前端页面测试未授权接口

后来发现了系统管理功能，其他接口都返回 401 错误，而这个接口在点击查询后报出“内部异常”。起初怀疑是未授权导致的，可能是缺少参数或参数错误；但后续测试发现，该接口确实存在未授权问题，根本原因其实是接口本身损坏，导致无法正常访问

这个接口的URL是用户查询接口，没授权，那新增用户的接口很可能也没授权。可以试着把URL里的换成save等这些关键词，看看能不能访问。

访问xxx/xxxx/save时，显示姓名不能为空，现在就差构造参数了

由于该url在js中搜索不到相关代码，于是只能通过fuzz去爆破出具体的参数名

我使用了CaA插件，加上自己的参数名字典来一起跑

跑出第一个姓名参数为name

第二个角色参数为role

第三个行政区参数为branchOffice，这里我没有输入手机号但是显示已存在，可能是后端逻辑有点问题，不过不影响继续 fuzz

第四个参数手机号码为tel,最后fuzz出来的参数为

{"userName":"","psd":"","name":"","role":"","branchOffice":"","phone":"","passWord":"","tel":""}

新增用户成功，响应200

登录拿下网站后台权限，但是权限比较低只有这些功能点

继续fuzz，既然有新增用户，那应该也有修改用户，访问xxx/xxxx/edit,显示姓名不能为空，和刚才的接口很像

最后fuzz出来的参数为，levelId为用户权限

{  "id": "",  "userName": "",  "tel": "",  "levelId": "",  "passWord": "",  "branchOffice": ""}

登录后为管理员权限

不可错过的往期推荐哦

![](https://mmbiz.qpic.cn/mmbiz_gif/AFgdiaw95AaNY572lpficoa3l1cVE17VfZ4WDWhcMYWJbibW3UvQP4H2Izrsic6ZSlqnw3DtMzjzJHvuhGJ2V6CF2A/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&retryload=1&randomid=tfibc7o0&tp=webp#imgIndex=24)

高版本安卓机保姆级ROOT教程-附原创自动化ROOT工具

记一次任意用户密码重置漏洞

微信小程序动态密钥实现自动加解密

实战攻防之黑盒挖掘Java反序列化漏洞

实战中Java反序列化漏洞黑盒挖掘思路

[话题]聊一聊如何更优雅的实现自动化加解密？

一次对某涩涩APP的分析之旅

层层防护下的突破之道：帆软漏洞利用深度解析

开发者别大意！Node.js 未授权安全漏洞，你的服务器可能正在被攻击者远程操控。

点击下方名片，关注我们

觉得内容不错，就点下“赞”和“在看”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：听风安全 《渗透测试fuzz参数拿下网站管理员权限》