文章总结： 本文讲述作者在EUDSRC挖洞中利用插件提取前端路由，发现一处Vue接口。通过修改时间参数并配合导出功能，成功绕过鉴权逻辑导致敏感数据导出。文章虽自称为运气，但展示了通过参数篡改与逻辑缺陷测试挖掘未授权访问漏洞的实战思路与过程。 综合评分： 60 文章分类： SRC活动,实战经验,WEB安全,漏洞分析,数据泄露

【EUDSRC】报告师傅，我没用技术，我真的是靠运气“捡”了个洞

原创

小Tiamo 小Tiamo

貔瑞安全实验室

2026年1月21日 08:54 山东

前言

在近期的挖洞实战中，我深刻体会到了什么叫“命里有时终须有”。我遇到了一系列看似平平无奇、实则一捅就破的 Vue 未授权访问漏洞。人话：水一篇文章。。。。。。。

侦察：如果你不会挖，就学会“胡搞”

那天我对着一个冰冷的登录框发呆，随手掏出插件开始提取前端路由。这一步没什么技术含量，主打一个“地毯式路过”。 等等这里显示成功，但是为啥查不到东西呢？

改了一下时间居然可以查到了，只能说运气太好了

突破：当系统开始跟我“调情”

看到鉴权本来像交个低危算了，莫名奇妙的想试一试，结果居然真有东西

惜败，居然有鉴权没招+了，开启运气的回想

直接就是一手更改时间+导出，这个技巧在src中还是比较容易遇到的，直接就将数据导出来了，具体细节就厚码了

总结：思路（和运气）比工具更重要

可能很没用技术含量，很多师傅都是可以挖出来的，可能就是缺一点运气。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：貔瑞安全实验室 小Tiamo 小Tiamo《【EUDSRC】报告师傅，我没用技术，我真的是靠运气“捡”了个洞》