文章总结： 演练记录：作者用VueCrack插件在Vue登录框发现未授权接口，直接访问/api前缀的list接口一次爆18万条数据，全程无鉴权；提醒调用时必须带/api前缀并抓包验证，可继续fuzzSQL注入等。 综合评分： 78 文章分类： WEB安全,红队,渗透测试,漏洞分析,实战经验

某次演练过程中的攻防实战

Asen Asen

迪哥讲事

2026年1月26日 09:01 四川

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

记录在某次演练的过程中一个有趣的记录。

文章作者：先知社区（Asen）

参考来源：https://xz.aliyun.com/news/19378

1►

正文

还是开局一个登录框，先看看是什么指纹发现是Vue的就先偏向去测试接口。

就在findsomething上先看看有没有一些有用的接口,看到这一段接口就有点未授权的味道了。

先用Vue Crack看看有没有一些未授权的路径进去看看还真有东西，这个插件使用起来也是非常的方便，他会自动识别是否未vue，如果有的话他就会自动添加路由。

下载地址：https://github.com/Ad1euDa1e/VueCrack

随机找一个，直接就进来了可能这个时候虽然没有任何信息，但是我们可以点击网站功能点看这些功能点是否有鉴权问题，还可以测试以下sql注入这些。

这里我简单的点击的一下查询功能，没想到就直接查询成功了还是有点意外第一次遇见这种情况，而且这里的数据量还是非常的大一页有十条一共有四千多条，就是4w+的数据了。

既然他一个点都没有鉴权哪肯定会有很多未授权的地方，重新回到登录口看看接口。插件匹配的接口肯定是不完全的，这里就f12看看前端的源码，然后在刚才的findsomething中看到有/api这个单独的接口这个站应该是一个前后端分离的网站，api应该是后端的接口，所以就直接搜api看看他有没有想关联的接口。

这里果然有东西，也看到了api的前面标出为post请求，而且还有几个list结尾的如果能跑出来估计也能有不少的数据了，但这个地方需要注意一个点就是，不能把这些接口拿出来单独跑，他的前面是一定要加上/api，因为在前面的测试中我在抓取登录口的数据包是发现他的每一个接口前面都是加上了/api的因为路由前缀挂载机制，所有后端接口均被统一绑定到 /api下。因此实际调用接口时必须携带统一前缀。抓包测试！！！我这里就直接抓取刚才的查询接口。

然后先进行一波fuzz，前面几个接口基本上都有数据这里就不做展示了。

然后这里有一个特别有意思的点，还是回到刚才的查询的功能点，这个是查询的那个数据包，返回的数据跟在前端的数据是一样的，但他的下面有一段请求参数，这些参数也是可以控制数据的数量，但是有一个很神奇的点是，我想对这个接口进fuzz，把那些参数删掉，他居然重新返回了新的数据，而且体量还非常的大。

我把以上参数删除以后，进行发包，他居然返回了十八万数据，我只能说太神奇了。

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

#

如何利用ai辅助挖漏洞

#

如何在移动端抓包-下

#

如何绕过签名校验

#

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事 Asen Asen《某次演练过程中的攻防实战》