声明

本文章所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法. 此文章不允许未经授权转发至除先知社区以外的其它平台！！！

前言

当我们拿到网站，但是又不知道密码，目录扫描也扫不出有效的信息时，我们可以从前端JS源码入手，找找是否有可以利用的点，或者未授权的接口从而一步一步扩大危害，拿到系统源码或者用户信息等。

登录框开局必出货，hhh

查看前端源码，发现Identity_Get接口，且存在userid和researchid参数

访问该接口抓包，使用burp进行测试，通过单引号重放发生报错

SQLMAP直接一键梭哈

python sqlmap.py -u "http://ip/Api/xxx/xxx/xxx/Identity_Get?USERID=1&RESEARCHID=1" --batch --risk 3

Oracle数据库

查询当前数据库用户

python sqlmap.py -u "http://ip/Api/xxx/xxx/xxx/Identity_Get?USERID=1&RESEARCHID=1" --batch --risk 3 --current-user

这个KEY泄露虽然很常见，但是能用的不多，这个能够利用的我还是第一次遇见
高德地图key

此key有效，hhh

访问网站打开插件查看接口信息，发现/xxx/xxx/zipDownload，以看这种就有戏啊

访问连接，通过提示信息输入path和type参数

直接目录遍历下载

https://ip/xxx/xxx/zipDownload?type=1&path=/../../../../../../..//etc/passwd

发现shadow密码文件也可以进行下载，猜测网站用户为root权限

后面就是FUZZ下源码，或者SSH私钥登录，直接拿下shell，美滋滋

访问网站，打开熊猫插件发现一个export的接口

直接使用目录穿越，可把整个网站打包下来，包括数据库备份信息，源码甚至是中间件

http://ip/xxx/Opt/export?path=../../

这个其实危害感觉不大，只泄露了用户名，手机号等一些信息，但是这个网站SRC的，所以还有20元子赏金，hhh
查看前端const.js文件，发现两个管理员用户信息

直接在找回密码处输入用户名密码，获取到手机号信息
如下图1：

如下图2：

只有两个账号，泄露的东西也不多，所以赏金不高，hhh