针对IP做信息收集

访问 http://xxx.com:28080/#/login

打开发现使用的是vue.js 估计是做了前后端分离，这种一般测试思路是找api接口或未授权

主页功能点很少，登录返回包给不到有用信息

找一波api测试一下，因为是vue打包之后的，直接用jsfinder

找出来 1023 URL还有很多API接口，用工具跑一下存活和标题

访问 http://xxx.com:28080/HospitalDemoHIM/

测了一下发现功能点都是废除的，不过源码可读

测一下接口

放到burp

没什么利用的，也不存在注入

往下翻发现了第二个接口

看了一下是判断如果用户登录成功而且密码过于简单就会强制用户修改密码，是个修改密码的接口

这里直接可以重置密码，也可以用来爆破用户名

用123456作为密码去重置

新密码为[email protected]

上去发现什么权限没给开，绝了

这里卡了一会，后来想到jsfinder扫了了很多接口，就怀着试一试的心态看看有没有越权，毕竟这种系统代码鉴权没那么严格

全局搜索user

跟上vue的规则
http://xxx.com:28080/#/system/userMessage

直接进到添加管理员页面，没做鉴权

新增管理员账号test 密码[email protected]

成功添加

使用新增的管理员账号登录

敏感信息泄露

因为是vue写的前后端分离，shell估计是拿不到了

最后发现文件上传也是未授权

原文地址：https://www.yuque.com/pphua/hacksb/xqg8mi