【Vue渗透】Vue站点渗透思路

勇敢许牛牛在线大闯关2024-02-23 11:42

原文地址

极核GetShell

前言

本文经验适用于前端用Webpack打包的Vue站点,阅读完本文,可以识别出Webpack打包的Vue站点,同时可以发现该Vue站点的路由。

成果而言:可能可以发现未授权访问

识别Vue

识别出Webpack打包的Vue站点可以通过以下几种方式

  • 通过浏览器开发者工具
    • 源代码 -> 在目标站点中的静态文件中找到类似于app.\**\**\**\**\**.js这样的文件
    • 网络 -> 在加载文件中发现一堆类似于chunk-\**\**\**\**\*.js的js文件
  • 浏览器URL栏特征
    • 识别地址栏带/#/

渗透Vue站点

找未授权的路由可以通过**手动 or 工具**的方式结合利用,先看手动方式。

未授权访问 -- 手动

手动打开**app.\**\**\*.js**文件,搜索**path:**关键词,即可获得相关路径,然后就可以进行拼接尝试访问

未授权访问 -- 工具

开发者工具 -> Vue(需要激活浏览器扩展) -> Routes

相关推荐
极梦网络无忧2 分钟前
我开源了一个 Vue 3 动态表单组件库 —— real-vue3-easy-form
前端·vue.js·开源
ShyanZh3 分钟前
【Claude基础】多代理协作:Agent Teams 与编排模式
前端·chrome·ai
下载居6 分钟前
Google Chrome(谷歌浏览器64位) 148.0.7778
前端·chrome
MXN_小南学前端15 分钟前
Vue + Quill:富文本的添加、传输、展示逻辑,以及 csReplyQuill 组件封装
前端·vue.js
XS03010616 分钟前
Java Web实现简易CRUD操作笔记
java·前端·笔记
Shadow(⊙o⊙)17 分钟前
qt内详解信号和槽的基本概念+实例演示
开发语言·前端·c++·qt·学习
qq_3813385019 分钟前
Vue3 组合式函数设计模式:从基础封装到高级复用实战
前端·vue.js·设计模式
步十人19 分钟前
【CSS】基础一篇过
前端·css
回眸一笑吟离歌21 分钟前
edge浏览器更新后打开局域网服务报错:ERR_ADDRESS_UNREACHABLE
前端·edge
幽络源小助理25 分钟前
在线图片处理工具源码, 多功能编辑格式转换HTML单文件版
前端·html
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03【AI】2026 年具身智能模型和世界模型总结04CC-Switch & Claude 基于 Linux 服务器安装使用指南05零基础教你claude code 接入 deepseek V406Cursor 接入 DeepSeek‑V4‑Pro 完整指南(2026 实测)07codex app每次打开重连5次Reconnecting问题解决08Windows端Codex接入第三方模型(DeekSeek,BaiLian)09要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法