文章来源：先知社区（lazy小远）

原文地址：https://xz.aliyun.com/t/10978

0x01 前言

遇到一个站，后端是Node.js写的，对于这种类型的站点，一般比较难getshell，但也实现了最终的目标，拿到后台权限。

先进行常规的信息搜集，子域名扫描、端口扫描、目录扫描等

这个站后端脚本语言是Node.js

目录探测发现404界面也极像Node.js的404页面，后面重点关注js文件

0x03 突破接口

在进行目录扫描的时候，发现了一个有用的目录：

$ . ajax ({    url : host + "/agent/getPlayerInfo" ,    type : "post" ,    dataType : 'json' ,    headers : { "content-type" : "application/json" },    data : JSON . stringify ({ "uid" : uid })  }). done ( function ( data ){    console . log ( data );

通过上述接口，可以通过用户的uid获取用户的用户名，将所有的用户名作为字典，放入burp爆破弱口令

成功爆破出多个用户存在弱口令

利用爆破的用户登陆后台，发现不是管理员权限

由于是前端判断且通过document.write函数渲染界面，因此可以前端绕过，直接修改返回包中的agentClass值为管理员的值，就可以进入到管理员界面，且后端所有接口也都如上面一样不存在鉴权，因此管理员的后台所有功能都可以使用。

 还在等什么？赶紧点击下方名片关注学习吧！

推 荐 阅 读