文章总结： 本文是一篇关于Webpack站点的渗透测试实战分享。作者通过信息搜集找到目标站点，利用其打包特征泄露的api和router路径，结合接口拼接、BurpSuite抓包等技巧，成功绕过鉴权并获取敏感信息。文中还提到了后续的SQL注入、XSS等漏洞测试，并补充了相关的Webpack知识链接。 综合评分： 75 文章分类： 渗透测试,WEB安全,实战经验,红队,内网渗透

挖洞日记 | Webpack实操

原创

zkaq – 腾风起 zkaq – 腾风起

掌控安全EDU

2026年3月20日 14:11 江西

扫码领资料

获网安教程

本文由掌控安全学院 – 腾风起投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（  https://bbs.zkaq.cn   ）****

#

1 信息搜集

当然哈，首先还是先想办法搞到一个统一身份认证，教给大家怎么搞： 这里我又找到了我一个高中同学，和他聊高中一起同生共死的曾经，翻着我们的照片~想念若隐若现~去年的冬天~我们笑得很甜~ok他开始回忆过往，并且开始很有感触，出其不意，他包不会拒绝的 由于我本人对webpack站点的打法比较算是有点心得，这里我根据webpack站点的特征构造其指纹，想专门检索webpack站点。

(domain="*.edu.cn")&&web.body="chunk"

2 实战教学

好的现在找到了我们想打的一些站点，打开之后查看源代码，这里可以看到，我这个站点还有webpack打包导致的api和router路径泄露，这里也往往是重中之重

技巧1

这里可以直接拼接/404，/login这种我们已经知道的接口，他会定位到一些接口的位置。就更方便我们去找

很明显这种什么/xx/xxx/role，这种接口，就不是什么正常的接口。一般来讲爆破也爆不出来，直接去拼接访问，别的接口也有一些危害，这里但拎出来这个危害最大的，这里他就没做好鉴权。

技巧2

拼接的时候我能看到他有那么0.几秒出现了别的页面，但是又跳回了登录界面，这个时候可以用bp卡住这个回到登录界面的包不放。 ok，这个admin组是我创建的，我在里面添加了一个000用户，并且把权限全都拉满

也是成功登录，到这已经危害拉满了。三十七万人的身份证号手机号，银行卡号等敏感信息泄露

3 pdf存储xss

那好不容易进来，肯定还要继续测sql，xss，文件上传，逻辑越权之类的，找到注入点直接跑sql也是没跑出来，打出来一个存储xss。还有逻辑越权，比较简单。

4 webpack知识补充

可移步到我写的这两篇文章 利用shuji还原webpack打包源码，小白混项目必学。 https://bbs.zkaq.cn/t/31841.html 某大学某系统webpack接口泄露引发的一系列漏洞 https://bbs.zkaq.cn/t/31795.html

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

零基础学黑客，该怎么学？

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

记某地级市护网的攻防演练行动

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq – 腾风起 zkaq – 腾风起《挖洞日记 | Webpack实操》