文章总结： 本文分享了一次从JWT泄露入手，逐步渗透多个关联系统的实战经历。作者在测试中发现主站泄露的JWT可用于其他旁站系统，进而利用该token重置密码、越权访问，并最终接管后台权限。此外，文章还提及了在渗透过程中发现的SQL注入、XSS及敏感信息泄露等漏洞，并对相关攻击技术和绕过方法进行了探讨。 综合评分： 85 文章分类： 渗透测试,红队,WEB安全,实战经验,恶意软件

同源异梦：JWT 泄露后从主站到旁站的渗透曲线

_7 _7

只会看监控的实习生

2026年3月21日 08:02 广东

发现过程

测试时第一步肯定是访问网站，然后点开熊猫头看是否有泄露，很凑巧这里只泄露了jwt。

开始拼接口，拼路径，但是最后得到的也仅仅是401。

走到这一步肯定是登录框爆破，或者fuzz看是否有未授权，都试过一无所获，那只能再回头信息收集，开始对ip进行收集，发现还存在其他系统。

访问以后进行登录测试时，发现虽然是两个系统但是接口似乎有点像，尝试将先前的jwt放入第二个系统进行测试。

测试过程

登录框中随意输入账号密码，抓取该登录数据包，放入重放模块进行构造，在header中加上token:{发现的jwt},在上图中，我对list接口比较感兴趣，f12查找与该接口有关的参数。 拼接后得到的信息还是缺东西，这时我们只需要将body中的参数放到uri中即可。成功得到相关数据，这代表这个token可以用。 此时已经有个账号相关的信息，并且还有一个重置密码的接口，继续拼接，显示账号id不能为空，我们刚才拿到了账号相关的信息中有一个platAccountId字段，直接加入，显示密码不能为空，在登陆时密码字段就是password,加入后修改成功。 到此肯定是要修改管理员的账号密码，成功后进行登录，

sql注入

在加入单引号以后发现会报错，仔细看发现是druid防火墙的报错，druid防火墙是可以使用报错函数进行注入的，这里使用的payload为/0 or updatexml(1,concat(0x7e,user(),0x7e),1)=1，也成功得到用户名，数据库名当然也是可以的。

XSS

由于该系统使用的是vue框架，它内部会存在一些过滤机制，f12看上去是写上了，但是已经被实例化了。 像绕过此类限制通常是找开发者误用v-html 的地方或者是编辑器，通常编辑器是最最无脑的方法。要不是上传html等等文件，要不然就是内容加入各种标签。

敏感信息泄露

由于现在很多网站通常不会直接接受上传的文件，通常会放在存储桶中，虽然防止了一些代码执行等漏洞，但同样会在设置上传权限是泄露相关的aksk以及临时STS,上传文件是发现返回包中存在aksk，使用obs浏览器成功接管其五十多个存储桶。 由于现在是admin账户登录的，可能危害并没有很严重，直接将一开始得到的jwt进行替换，同样也成功了，这应该就又可以水一个洞了。

越权漏洞

由于已经拿到后台权限，完全可以使用不同的账号测试越权，直接重置密码，然后使用其他浏览器进行登录。 可以看到该用户的权限很少，但并不代表真的很少，有些网站只是会对显示的菜单权限进行验证，并不会对功能点进行验证。f12找到该用户的token值，将burp中admin的token进行替换。获取aksk，可以，获取所有租户信息，也可以。

原文链接：https://forum.butian.net/share/4443

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：只会看监控的实习生 _7 _7《同源异梦：JWT 泄露后从主站到旁站的渗透曲线》