文章总结： 本文复现了利用URL路径混淆绕过认证的案例。作者通过插入分号构造/;/admin绕过OAuth登录，结合BurpSuite接管包含数千万敏感数据的企业后台。该漏洞获CVSS10.0分及4500美元奖金，揭示了路由解析缺陷带来的严重风险。 综合评分： 85 文章分类： WEB安全,渗透测试,SRC活动,实战经验,漏洞分析

【实战复盘】利用 URL 路径混淆绕过认证：记一次价值 $4500 的企业后台接管

原创

Pwn1 Pwn1

漏洞集萃

2026年2月4日 09:25 山东

免责声明 本公众号所发布的文章内容仅供学习与交流使用，禁止用于任何非法用途。

一、 资产发现：从 Shodan 开始

一般来说，一切测试的起点通常都是始于信息收集的。那么在本次针对某大型厂商（下文我们就叫它 Redacted 吧）的测试过程中，我首先还是利用了 Shodan 搜索引擎，去对它进行了一个资产梳理。

当时我使用的搜索语法其实是非常基础的，目的主要就是为了寻找该域名下返回 200 状态码的 SSL 服务：

ssl:redacted.com "200"

然后呢，搜索结果大概返回了有 18 个 IP 地址。我当时就随机选取了一个 IP 进行访问，结果我发现该站点部署了非常严格的访问控制——直接访问 IP 会强制重定向到 Google OAuth 的登录页面。这意味着什么呢？这意味着在没有内部员工账号的情况下，常规的访问路径基本上是被堵死了。

二、 漏洞探测：意外的路径混淆

面对这种强制跳转的登录页，常规的思路一般来说都是去寻找是否存在接口泄露啊，或者弱口令之类的，但我当时决定先去测试一下那些常见的管理后台路径。

1. 常规路径测试（失败）

所以我先尝试访问了以下几个标准路径：

• redacted.com/admin
• redacted.com/dashboard

结果呢，正如预期的那样，服务器再次将我重定向回了 OAuth 登录页面。在这个时候，它的防御机制看起来运转得还是挺正常的。

2. 路径混淆测试（成功）

不过在 Web 安全测试中，利用特殊字符去欺骗服务器的路由解析机制，算是一种比较经典的手法了。于是我决定尝试一下，在 URL 路径中插入分号 ; 来进行混淆试试看。

接着，我构造了像下面这样一个请求：

/;/admin

然后，意想不到的事情就发生了。

页面并没有跳转回登录页，而是直接渲染出了管理后台的界面。起初看到这个界面的时候，我怀疑这可能只是前端显示的一个“空壳”，我可能并没有真正获取到权限。那么为了验证这一点，我点击了页面内的其他菜单，但是 URL 路径瞬间变回了 /auth/login，然后再次弹回了登录页。

3. 深入验证与利用

为了确认漏洞的真实性，我启用了 Burp Suite 进行了抓包，并对所有的请求路径前面都强制添加了 /;/。

在此期间，为了搞清楚这个 IP 到底对应的是哪个业务系统，我使用了 SecurityTrails 去查询该 IP 的历史解析记录。查询结果显示，该 IP 绑定的是该公司的一个核心管理子域名。

于是，我将 Host 头指向了该子域名，并且保持路径中的 /;/ 混淆：

随后的结果确认：Bypass 是有效的。

我成功绕过了它的身份验证机制，完整地进入了该公司的管理后台。在这个面板中，我可以查看到所有的系统配置。更令人震惊的是，作为一个拥有数百万用户的大型企业，它的后台里居然直接暴露了海量的敏感数据。

三、 漏洞定级与危害分析

因为我是该厂商私有众测项目的成员，所以我迅速整理了一份报告，并提交到了 HackerOne 上。

虽然说这个漏洞的原理很简单，但它的危害（Impact）其实是巨大的。在随后与厂商的安全团队沟通的时候，我基于以下几个事实，去论证了该漏洞应属于 Critical（严重） 级别：

1. 未经授权的完全控制权：攻击者是可以接管整个管理子系统的。
2. 高敏感数据泄露：

• 2100 万条 数据库记录；
• 500 万条 交易记录；
• 大量用户的 PII（个人身份信息）以及信用卡/虚拟卡信息；
• 服务器的核心配置信息。

1. 符合 CVSS 标准：该场景满足了 CVSS 3.1 评分中的多个高危维度，得分是 10.0。

原文：https://medium.com/@nanwinata/a-big-company-admin-panel-takeover-4500-9520a6c83430

觉得本文内容对您有启发或帮助？ 点个关注➕，获取更多深度分析与前沿资讯！

👉 往期精选

攻防演练中的“降维打击”：逃逸出内网边界的影子资产与SaaS供应链挖掘

【实战】利用 Salesforce ID 格式特性实现用户遍历

API 渗透实战：从 JSON 响应倒推隐藏的高危路由

使用 Frida 在运行时拦截 OkHttp – 实用指南

一种利用 HTTP 重定向循环的新型 SSRF 技术

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：漏洞集萃 Pwn1 Pwn1《【实战复盘】利用 URL 路径混淆绕过认证：记一次价值 $4500 的企业后台接管》