当前位置：首页 > article >正文

记一次前端逻辑绕过登录到内网挖掘

article 2025/6/1 4:07:23

前言

在测试一个学校网站的时候，发现一个未授权访问内网系统，但是这个未授权并不是接口啥的，而是对前端 js
的审计和调试发现的漏洞，这里给大家分享一下这次的漏洞的过程。

进入内网的过程

可以看到是一个图书馆的网站，但是只有登录了内网才能访问图书馆的资源，这个能够理解嘛，毕竟大学的图书馆资源都是内部资源

然后随便尝试登录一下

会检验我的 ip，ctf 学习的如何伪造 ip，可以用起来了

发现还是不可以，emmm，可能伪造得不对，fuzz 一波

全包 400 了，我去，检查一手

原来是给我们 url 编码了，所以这里给各位说一下，当你遇到这个问题的时候，你就需要去设置一个小东西

取消

没有区别，emmm 还是不行

难道真的要不行了吗

帮助网安学习，全套资料S信免费领取：
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

我尝试直接去 js 代码中看看，是不是在 js 中的限制，或者查找一下获取我的 ip 的逻辑，尝试有没有别的伪造方法

然后我们定位到 js 的代码

else if (state == '2'){$("#login_error").html('您的IP不在授权区域');return false;}

发现是根据 state 来确定的

var state = $.trim(msg);

而 state 又来自于 msg

然后我们发现了关键代码

function check_login($url){var name   = $("#name").val();var passwd = $("#passwd").val();var remme  = $("#checkboxindex").val();if(remme == 1){setCookie('dydlname', name );setCookie('dydlpasswd', passwd );}else{setCookie('dydlname');setCookie('dydlpasswd');}$.ajax({type : "POST",async : true,url : "../ucheck.php",data : "name=" + name +"&passwd=" + passwd,success : function(msg) {var state = $.trim(msg);//alert (state);//alert (msg);//state[0] = 6;if (state == '1') {window.location.href=$url;//alert ($url);return true;} else if (state == '2'){$("#login_error").html('您的IP不在授权区域');return false;}else if (state == '3'){$("#login_error").html('用户名或密码错误');return false;}else if (state == '6'){showNotice();return false;}}});
}

简单看一看

var name = $("#name").val();
var passwd = $("#passwd").val();
var remme = $("#checkboxindex").val();

name 获取用户输入的用户名，使用的是 jQuery 来从 id 为 #name 的输入框中提取值。
passwd 获取用户输入的密码，提取自 id 为 #passwd 的输入框。
remme 获取用户是否选择了“记住密码”的选项，提取自 id 为 #checkboxindex 的复选框

记住密码的逻辑是

if(remme == 1){setCookie('dydlname', name );setCookie('dydlpasswd', passwd );
} else {setCookie('dydlname');setCookie('dydlpasswd');
}

如果用户选择了“记住密码”（remme == 1），代码会调用 setCookie 函数设置两个 cookie，分别存储用户名 (dydlname) 和密码 (dydlpasswd)。

如果用户未选择记住密码，代码会清除这些 cookie。

嘿嘿嘿，那如果能够获得别人的 cookie，那么我们就可以直接获取账号和密码了

我们看看 cookie 的逻辑

/* 添加/删除 cookie */
function setCookie(name, value, exdays, path) {var exdate = new Date();exdays = exdays || 365;exdate.setDate(exdate.getDate() + exdays);if(value === null) {value = '';exdays = -3;}document.cookie = name + '=' + encodeURIComponent(value) + ((typeof exdays === 'undefined') ? '' : ';expires=' + exdate.toGMTString()) ;
}

先就是设置一下 cookie 的过期时间，然后就是设置 cookie 的值

document.cookie = name + '=' + encodeURIComponent(value) + ((typeof exdays === 'undefined') ? '' : ';expires=' + exdate.toGMTString());

encodeURIComponent 对 value 进行 URL 编码，防止特殊字符导致 Cookie 无效或出现错误。

我们看处理服务器响应的部分

状态码 1: 登录成功

if (state == '1') {window.location.href = $url;return true;
}

如果状态码是 1，则认为登录成功，跳转到传入的 $url 页面。

状态码 2: IP 不在授权区域

else if (state == '2'){$("#login_error").html('您的IP不在授权区域');return false;
}

如果状态码是 2，提示“您的 IP 不在授权区域”。

状态码 3: 用户名或密码错误

else if (state == '3'){$("#login_error").html('用户名或密码错误');return false;
}

如果状态码是 3，提示“用户名或密码错误”。

状态码 6: 显示通知信息

else if (state == '6'){showNotice();return false;
}

如果状态码是 6，调用 showNotice() 函数，可能会弹出一些通知或消息提醒。

首先看一下 6

然后我们检查回显

好的没有有用的信息，然后我们就回到改成 1

调试 js

成功进入了分支，然后会跳转 url

到 index.php

但是发现页面任然没有什么变化，？？？？
尝试直接访问

直接 302 跳转了

但是必须进内网才可以啊

我又在这里磨了很久，发现早都成功了

其实虽然 302 了，但是资源还是可以访问到的

然后全是这个学校的内部的文献

sql 注入的发现

但是可惜的是只能在 bp 中操作，所以很不方便，我看源码，然后找到一些文件，尝试一下爆破目录，看看有没有价值的目录，比如
admin，因为内网的话弱口令很多的

当时爆了一会，这个网站直接就崩溃了，不敢爆了，全是别人学校的内步藏书

当时 502 差点没有把我吓死我去，然后就是

随便访问一下

不能爆破目录，只能去尝试 sql 注入了

然后成功了 wc

有 sql 注入，然后下面就开始 sql 注入吧

可以看到注释后成功了

sql 注入无限尝试

首先尝试万能密码

md，发不出去包

就很离谱

然后尝试一下基本的语句，看看哪里出了问题

连基本的 or 1=1 都不可以，发不出去包，很奇怪

or 被过滤了或者=被过滤了？？

尝试一下

等于符号

都没有被过滤啊？？，但是组合在一起就不可以了，奇怪啊

尝试 order by 看看

10000 都没有反应

尝试盲注

1’and%20length((select%20database()))>1%23

好像是可以的？？

改成小于看看结果

1’and%20length((select%20database()))<1%23

但是没有任何区别？？？

奇怪了我去

尝试时间盲注

1’and%20sleep(5)%23

发不过去包了

我把 sleep 的数字给去掉就可以了

应该是过滤了 sleep(数字)这种类型？？

还专门看了一下语法的错误

确实是没有问题的，本地都是可以的

然后灵机一动，我输入小数

本地是可以的，在环境中尝试一手

至此 sql 注入验证成功

sql 验证就够了，不敢乱打，sqlmap 我都害怕给它扫没有了

最后

声明：文章中涉及的敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

记一次前端逻辑绕过登录到内网挖掘

前言

进入内网的过程

sql 注入的发现

sql 注入无限尝试

最后

相关文章：

记一次前端逻辑绕过登录到内网挖掘

有什么excel.js支持IE11,可以显示EXCEL单元格数据,支持单元格合并,边框线,单元格背景

x86 与 ARM 汇编深度对比：聚焦 x86 汇编的独特魅力

Springboot 整合 WebSocket 实现聊天室功能

用 Trae IDE 打造一个桌面小爬虫：从 PyQt5 开始，轻松采集掘金首页内容

python和风api获取天气（JSON Web Token）

模板应用更新同步到所有开发中的应用

git和gitee的常用语句命令

52、C# 泛型 (Generics)

理解 Vue 2 的响应式原理：数据劫持与依赖收集的背后

深入理解 Pinia：Vue 状态管理的革新与实践

Dubbo高频面试题

Allegro X PCB设计小诀窍--05.如何在Allegro X中实现隐藏电源飞线效果

一篇文章教会你ESP8266串口WIFI无线模块实现物联网无线收发，附STM32代码示例

算法-基础算法

特种设备作业人员-G3锅炉水处理如何备考学习？

Reactor模式详解：高并发场景下的事件驱动架构

UniApp 生产批次管理模块技术文档

项目日记 -Qt音乐播放器 -设置任务栏图标与托盘图标

国产 BIM 软件万翼斗拱的技术突破与现实差距 —— 在创新与迭代中寻找破局之路

记录算法笔记(2025.5.29)最小栈

Android SurfaceFlinger核心工作机制

Golang｜etcd服务注册与发现策略模式

深度解析UniApp盲盒系统开发：从源码架构到多端部署全流程

STM32的OLED显示程序亲测可用：适用于多种场景的稳定显示解决方案

【AI News | 20250529】每日AI进展

Day12 - 计算机网络 - HTTP

Linux驱动学习笔记（十）

如何优化Elasticsearch的搜索性能？

TI dsp FSI (快速串行接口)