文章总结： 本文记录了一次针对外挂卡密系统的渗透测试过程。作者通过TG发现外挂团伙后，在GitHub找到源码并进行代码审计，发现JWT默认密钥和文件上传两处漏洞。利用漏洞链先伪造JWT登录后台，再上传Webshell获取System权限，最后通过添加用户完成内网渗透。文章提供了具体的漏洞利用方法和实战操作截图。 综合评分： 70 文章分类： 渗透测试,漏洞分析,WEB安全,红队,实战经验

【投稿篇】记一次对外挂卡密系统渗透

原创

Kenny Kenny

白昼信安

2026年4月28日 08:45 甘肃

在小说阅读器读本章

去阅读

前言

在tg发现搞州外挂的团伙在批量卖卡密外挂

代码审计

通过特殊标志在GitHub找到源码

漏洞1 jwt默认密钥

系统在未配置自定义密钥时，会回退到硬编码的默认密钥。攻击者⼀旦获取到这些默认密钥，即可伪造有效的 Token，从而绕过身份验证。1.默认密钥定义 ( app/common/service/SecretKeyService.php ) 该服务负责统⼀密钥派⽣，可⻅其存在硬编码的默认值：  

 令牌签发逻辑 ( app/admin/controller/AuthController.php ) 登录成功后，系统⼿动拼接 Base64 负载与 HMAC 签名：  

 令牌校验逻辑 ( app/middleware/AdminAuth.php ) 中间件在校验时同样使⽤该派⽣密钥，导致伪造的 Token 能通过 hash_equals 检查：

漏洞2 文件上传

 Logo 上传接口( app/admin/controller/SettingController.php ) 该接⼝直接根据原始后缀名保存⽂件，且存储路径在 Web 目录下：  

 通⽤图片上传接口 ( app/admin/controller/UploadController.php ) 虽然增加了 MIME 校验，但 MIME 可被轻易伪造 。

实战操作

那么利用链就是利用jwt登录后台然后上传一句话

python编写脚本伪造jwt登录 

利用油猴登录

定位到漏洞点

修改mine头绕过拦截

成功连接蚁剑

命令执行发现是windows的有意思

权限直接是system了

POWERSHELL上线cs

成功抓到hash 但是需要爆破明文也不知道到啥时候 内网也没有别的机器 只能添加用户连接3389看看了

直接添加用户

添加用户 直接连接

最后清除痕迹跑路。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白昼信安 Kenny Kenny《【投稿篇】记一次对外挂卡密系统渗透》