文章总结： 大蚂蚁即时通讯系统存在loginByToken接口登录绕过漏洞，攻击者可直接进入系统后台。漏洞影响超级管理员、系统管理员、安全管理员、审计管理员四个内置管理用户，通过特定POC可实现未授权访问。该漏洞属于严重的权限绕过安全问题，建议立即修复接口验证机制。 综合评分： 65 文章分类： 漏洞分析,WEB安全,渗透测试,漏洞POC,应用安全

大蚂蚁 (BigAnt) 即时通讯系统 loginByToken 权限绕过登陆后台

原创

安羽安全 安羽安全

安羽安全

2026年2月9日 10:05 中国香港

01免责声明：

文章内容仅供日常学习使用，请勿非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。如有内容争议或侵权，我们会及时删除。

02    漏洞描述

漏洞接口：/home/login/loginByToken 存在登录绕过漏洞 ，可以直接进入系统后台。

fofa：title=”即时通讯 系统登录”

03    漏洞复现

1、访问系统

2、系统内置四个管理用户都可以直接登录，超级管理员、系统管理员、安全管理员、审计管理员

关注公众号回复：260209获取漏洞POC详情

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安羽安全 安羽安全 安羽安全《大蚂蚁 (BigAnt) 即时通讯系统 loginByToken 权限绕过登陆后台》