文章总结： 本文汇总了25种登录框渗透测试实战思路，涵盖弱口令爆破、万能密码、逻辑漏洞及Shiro、JeecgBoot等常见框架漏洞。重点探讨了Vue源码泄露、接口未授权、JWT缺陷及Nginx路由配置错误等突破手段。建议结合自动化工具与手动挖掘，针对前后端分离架构进行系统性测试以提升渗透效率。 综合评分： 83 文章分类： 渗透测试,WEB安全,红队,实战经验

---

实战总结：25 种登陆框思路汇总

原创

ChinaRan404 ChinaRan404

知攻善防实验室

2026年1月27日 09:05 浙江

临时写的一篇，群友问我要的，简单总结一下，可以后台回复”交流群”，我拉你进交流群。

先收藏，慢慢看，所有思路只是大致过一下，不会写的很细，因为会有点多。

1.弱口令

弱口令速战速决心法总结：admin:top1000 密码，

没有的话 usernameTOP10:passwordTOP100

常用测试手机号+top10 密码

草叉同步爆破，中文姓名，简拼全写

2.万能密码

‘ or 1=1 –+ 这种，网上一搜一大堆，现实中很难打出来。

本人只打出来过两三次，而且是特别老的系统。

3.二次注入

注册接口存在 SQL注入，注册一个 admin’#

登进去再改admin密码，最后再 admin 登录

4.逻辑漏洞

这个没法简述，都是一些常规的逻辑漏洞、注册接口、找回接口。

建议去搜一搜相关文章，都逻辑漏洞感觉都大同小异。

5.登录绕过

有些开发脑子一热，写出来什么样的代码，直接访问 home.html 就能进，遇见过很多次。

所以一定要选择比较知名的浏览器插件来进行数据过滤。

6.验证码相关

留一份通用验证码，有些开发为了方便测试，会留通用验证码。

这个已经遇见过好几次了，建议一定要尝试一下。

手机号 xxxx 验证码 xxxx。

7.Shiro 相关

Shiro 反序列化，若依这种出 Key 直接打，这个没啥好说的，实战利用率不知道是我菜还是咋回事，近几年很少打出过若依的。

8.接口未授权

FindSomething找到接口，然后拼接，直接访问测试

这个插件不要去买会员功能，鸡毛用没有。

9.Vue 梭哈

Vue 问题比较明显，实战出洞的概率比较大，大致意思就是得益于现在的前后端分离架构，有些后端开发忘记鉴权，然后使用 Vue 相关插件，可以直接跳转到未授权页面，直接看有没有数据，本质上还是 API 未授权，只不过是把接口可视化了。

推荐插件

https://github.com/0xsdeo/AntiDebug_Breaker

10.jeecgboot 账号泄露

JeecgBoot有一个接口，可以泄露所有的用户名+密码，密码是加盐的，有用户名，直接拿用户名+字典进行爆破，很多不改密码的，出一个就是通用密码。实战出洞率比较高

11.jeecgboot 系列漏洞

这个系列太好打了，工具直接梭哈,路由一定要找对，不然打不了，很多情况下需要账号拿到 Token才能打。

12.若依系列漏洞

这个系列太好打了，工具直接梭哈。

常用字典

ruoyiruoyi-adminruoyiadmin

注意了，若依经常会有 Druid页面（admin/123456），建议留意一下

13.thinkphp 系列漏洞

这个系列太好打了，工具直接梭哈。

14.js 直出 Key

FindSomething找！

AKSK、硬编码 Key、硬编码密码，还有各种，出洞率也算比较高。

15.同系统测试（fofa+指纹+弱口令）

同一套系统，这个网站没有弱口令，拿着指纹去 fofa 上测同系统的其他网站，拿到弱口令进后台看鉴权，看看能不能通杀。

16.开发测试账号+验证码

上面弱口令细节，讲过了，大致就是手机号+通用验证码。

17.Spring 端点问题

得益于前后端分离技术，JavaSpring 端点泄露的太多太多了，这里推荐曾哥的项目

https://github.com/AabyssZG/SpringBoot-Scan

具体怎么测，测哪里

比如说，一个网站

http://localhost:1821/login

你直接测这里，是没有用的

你需要做的是测它的接口，他不是前端

点击登录，看它的 API 地址

18.nginx 路由问题

登陆框

http://127.0.0.1/h5/login

看见前面这个 h5了吗？

http://127.0.0.1/ywxt/h5/login

看见这个业务系统(ywxt)了吗

有很多系统使用了 nginx 做路由，你去想办法去收集他的一级路由、二级路由，甚至三级路由，可能会有意想不到的惊喜。

19.fastjson 问题

https://github.com/safe6Sec/Fastjson

直接看这里，Burp挂明洞被扫，Yakit 去直接搜插件就有。

20.Xstram 问题

如果看到是 XML 格式传输的账号密码，可以试一下，但是实战很少见。

实战中黑盒没测出来过，想研究的师傅们可以自己百度一下。

21.JWT 问题

JsonWebTokn

1.先爆Key,这个 Key 爆不出来就是爆不出来，不要觉得是自己字典问题，实战中能爆出 Key 的概率太小了。

2.拿着这个直接去 Fuzz，出洞率比较低，测细一点总归是好的。

22.SQL 注入问题

老生常谈，就不讲了哈哈哈，结合 AI 去写SQLmap脚本。

23.验证码 DoS 问题

出现在验证码接口

/oa/Common/YanZhengMa.asp?width‌=10&height‌=10

你把10，改成 10000，会发现慢了特别多，Dos 接口就来了。

24.Struts2

工具直接梭哈，实战中只在内网遇见过。

第128篇：Struts2全版本漏洞检测工具19.68版本更新

25.改返回包（本质上还是前端问题）

临时不好找示例了，本质上还是前端问题

{username:”admin”,pass:”password”}

返回

{status:”0″}

劫持返回包，改成

{status:”1″}

可能会造成未授权。

26.Swagger 问题

APIfox 直接导入 openapi

先写这么多了，一时半会想不起来了。

插播一条广告

年底了，让小弟涨点粉吧，三连一下。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：知攻善防实验室 ChinaRan404 ChinaRan404《实战总结：25 种登陆框思路汇总》