【工具推荐】红队利器VueCrack

admin
admin
admin
0
文章
0
评论
2026-06-20 05:03:02 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: VueCrack是一款基于ManifestV3的Chromium扩展工具,专为红队场景设计,用于审计Vue.js应用的前端路由和验证访问控制。该工具通过运行时接管VueRouter,自动检测框架、提取完整路由结构、劫持路由守卫与跳转API,并支持梭哈模式以兼容动态加载场景。核心功能包括路由守卫失效处理、Meta字段改写及反检测机制,帮助快速定位前端鉴权漏洞。 综合评分: 82 文章分类: 红队,WEB安全,安全工具,渗透测试,漏洞分析

cover_image

【工具推荐】红队利器VueCrack

原创

CatalyzeSec CatalyzeSec

CatalyzeSec

2026年6月18日 21:29 湖北

在小说阅读器读本章

去阅读

工具介绍

VueCrack 是一款基于 Manifest V3 的 Chromium 扩展,面向授权场景下对 Vue.js 应用的前端路由进行审计与访问控制验证。其核心目标是从运行时还原 Vue Router 的完整路由表,并通过劫持路由守卫与跳转 API 帮助测试人员快速定位前端鉴权失效引发的未授权访问问题。

工具采用模块化分层设计,由 content.js 充当页面与扩展之间的桥接,detector.js 负责识别 Vue 实例与抽取路由结构,all-in.js 在 v2.0 中新增,作为「梭哈模式」的核心,通过前置注入实现 Router 初始化期间的接管。

安装使用

项目地址https://github.com/Ad1euDa1e/VueCrack

下载解压后在 Chrome / Edge 地址栏访问 chrome://extensions

选中仓库根目录(含 manifest.json 的那一层),确认工具栏出现 VueCrack 图标即表示加载成功

  • 普通模式 访问目标 Vue 站点任意页面,点击工具栏 VueCrack 图标,面板将自动列出已识别到的全部路由路径,可单击复制或一键打开验证。

  • 梭哈模式 若目标存在严格的路由守卫导致普通模式失败,在面板中按站点开启「梭哈」选项后刷新页面即可生效;该模式在 Vue Router 初始化前完成接管,对延迟挂载与动态加载场景兼容性更高。

  • 结果操作 路由列表支持基础路径自动识别、当前路由高亮、缓存恢复与批量复制,便于连续测试与结果复盘。

功能特点

相较于同类静态分析路由的工具,VueCrack 主打「运行时接管」路线,在动态加载、异步路由、复杂 SPA 场景下具备更高的稳定性。核心能力如下:

  1. Vue 框架自动检测在页面运行时识别 Vue 2 / Vue 3 框架,分别从 __vue__ 与 __vue_app__ 两类挂载点反查 Router 实例,无需依赖源码或 sourcemap。
  2. 完整路由结构提取从 router.getRoutes()、router.options.routes、router.matcher 多入口抽取静态与动态路由,支持延迟加载组件挂载后的二次发现。
  3. 路由守卫接管将 router.beforeEach / beforeResolve / afterEach 替换为 no-op,并清空已注册的守卫容器,使前端鉴权判断整体失效。
  4. 跳转链路全劫持劫持 router.push / replace / go,使其返回 false;同时接管 history.back / forward / go 与 Location.assign / replace,阻止业务代码的强制跳转。
  5. Route Meta 改写递归遍历路由表,将 meta 中包含 auth / login / permission 关键字且为 true 的字段强制改为 false,让残留守卫失去判断依据。
  6. 梭哈模式(All-in)v2.0 新增模式,在 Vue Router 初始化之前完成原型替换与全局对象 patch,从源头消除守卫、跳转、Meta 三类风险面,对反调试与自删 sourcemap 的目标更有效。
  7. 异步场景兼容通过 MutationObserver 监听 DOM 变化,配合 50/150/350/800/1500/3000/6000ms 七档轮询补扫,覆盖延迟挂载、动态挂载与多次渲染场景。
  8. 反检测与稳定性所有被替换的函数通过重写 toString 伪装为 [native code],使用 WeakSet 记录已 patch 对象避免重复劫持。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:CatalyzeSec CatalyzeSec CatalyzeSec《【工具推荐】红队利器VueCrack》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
2026中国白酒市场现状 网络安全文章

2026中国白酒市场现状

文章总结: 报告指出2026年中国白酒市场处于深度调整期,行业营收利润走弱且分化加剧,头部名酒韧性较强而中小酒企面临压力。核心变化包括政策转向鼓励、消费理性化、
06-200 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0