V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
godblessumilk
V2EX  ›  信息安全

有没有那种针对 vue/react 建的站的 webshell?

  •  
  •   godblessumilk · 2021-07-09 08:49:41 +08:00 via Android · 5584 次点击
    这是一个创建于 1237 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我想知道有没有那种针对 vue/react 建的站的 webshell ?难受,我还在新手村,日靶场,靶场全是上个世纪的 cms,就那种前后端不分离模式下开发的站,套路千篇一律都是玩剩下的。。。。我朋友蓝队的,之前叫我帮他看滴滴的运营后台能不能日进去(他不怎么写代码,所以他会找我讨论,看从专业 web 开发人员的角度有没新思路)然后我给他提供了大致思路,这是我在逼乎记录的 exp 思路 https://www.zhihu.com/question/324843355/answer/1406846412?utm_source=zhihu&utm_medium=social&utm_oi=557849709151055872
    但我俩一致认为这站技术层面日不进去了,我好沮丧,捶胸顿足,糙曹草艹操,为毛会有站日不进去,果然自己还是太菜

    真日不动,要炸毛。。。我都在想要不要通过浏览器层面的 0day 去搞了,苦心阅读 chrome 源码中。。。

    要日的站是这个。。前端用 react 写的,动态路由。。。https://olympus.amap.com/manager
    36 条回复    2021-07-23 17:15:04 +08:00
    learningman
        1
    learningman  
       2021-07-09 08:56:09 +08:00 via Android
    不是,你研究前端干啥。。。前端只是一个交互界面啊,你得想办法搞定后端接口啊。
    现代前端都是 webpack 编译过了,本来就看的累。。。
    learningman
        2
    learningman  
       2021-07-09 08:58:06 +08:00 via Android
    只要不用 v-html,感觉不太可能有 xss,那搞供应链攻击?这个又太远了一点吧。。。
    cwyalpha
        3
    cwyalpha  
       2021-07-09 09:03:17 +08:00 via iPhone
    如果只是 xss 也还好吧 主要还是看泄露的接口有没非授权、注入、任意文件上传之类的?
    3dwelcome
        4
    3dwelcome  
       2021-07-09 09:52:02 +08:00
    “之前叫我帮他看滴滴的运营后台能不能日进去”

    这个和前端用什么技术没关系吧,就算用 html+js 重写页面,你也进不去。

    用户权限都是后端控制的。
    ragnaroks
        5
    ragnaroks  
       2021-07-09 10:01:08 +08:00
    如果是 SSR 或许有机会,SSG 、SPA 应该不可能从前端入手了,倒是 blazor 通过序列化漏洞被提权过
    pusheax
        6
    pusheax  
       2021-07-09 10:01:13 +08:00   ❤️ 1
    vue/react 是前端的,研究方向是 xss/csrf 一类,要多功能可以上 XSS 平台,BeEF 了解一下。当然你提到的浏览器 0day 也是可以的,比如 chrome4 月份的那个 RCE,不过实战利用苛刻。要从头挖掘浏览器 0day 的话,是不可能的。
    要上🐎,就要看后端是什么中间件,上 jsp🐎之类。
    不过这种站,一般还是找信息泄漏什么的,看看有无可能弄进后台,再找文件上传点。或者项目允许的话,直接找子域名,找旁站吧。
    usw
        7
    usw  
       2021-07-09 10:05:11 +08:00 via Android   ❤️ 1
    日了前端发现后端日不了,结果是白干。日了前端发现后端也能日,那何不直接日后端哈哈哈哈哈哈
    Greenm
        8
    Greenm  
       2021-07-09 10:12:31 +08:00
    按你的这个思路,日不动才是正常的。 信息收集都没做全,只看着前端页面和 js,能搞进去才怪了,最多挖到一个 XSS 之类的漏洞,再说这种登陆页本来就不好搞。

    除非是 nodejs 那样后端也是 js 写的,前端用什么写跟 webshell 根本没关系,漏洞都没找到就开始想 webshell,就像手都没牵到就开始想孩子姓什么了。
    Greenm
        9
    Greenm  
       2021-07-09 10:15:05 +08:00
    另外,浏览器 0day 跟 web 站点毫无关系,浏览器是搞人的,不是搞服务器的
    kilala2020
        10
    kilala2020  
       2021-07-09 10:17:45 +08:00
    日站它是目的,不是手段啊。
    chunmingkk
        11
    chunmingkk  
       2021-07-09 10:20:18 +08:00
    给公司做过一套基于 Vue 的 web shell,当时最复杂的就是前端去截取用户的特定内容来给后端做敏感指令审核
    godblessumilk
        12
    godblessumilk  
    OP
       2021-07-09 11:05:40 +08:00 via Android
    其实我已经通过逆向前端代码,找出了该系统所有接口的完整请求路径
    godblessumilk
        13
    godblessumilk  
    OP
       2021-07-09 11:06:43 +08:00 via Android
    @3dwelcome 其实我已经通过逆向该系统前端代码,找到了所有接口完整的请求路径了
    3dwelcome
        14
    3dwelcome  
       2021-07-09 11:28:48 +08:00   ❤️ 2
    @godblessumilk "找到了所有接口完整的请求路径了", 通常到这一步都会卡住,然后就没有然后了。
    mxT52CRuqR6o5
        15
    mxT52CRuqR6o5  
       2021-07-09 11:36:44 +08:00
    @godblessumilk
    日不进去才是正常的,能轻易日进去是开发者 /运营水平低下
    什么谷歌微软脸书支付宝网页版你也能找到所有接口完整的请求路径,难道这些网站就能轻易攻破了
    orangie
        16
    orangie  
       2021-07-09 14:13:54 +08:00   ❤️ 1
    @godblessumilk 你真的辛苦了(汗)接口路径直接从浏览器 F12 看就行了,不用看代码
    godblessumilk
        17
    godblessumilk  
    OP
       2021-07-09 14:29:37 +08:00
    @orangie 这系统要登录进去才能看到别的前端页面的,哥
    wangxin13g
        18
    wangxin13g  
       2021-07-09 15:04:47 +08:00
    你们搞安全的都不写代码或者了解下基础的现代网站工程结构和原理的吗
    maplelin
        19
    maplelin  
       2021-07-09 15:40:01 +08:00
    @godblessumilk #13 前端代码有啥用,要是后端代码说不定能看出点啥来。
    ayase252
        20
    ayase252  
       2021-07-09 15:45:38 +08:00 via iPhone
    所以说前端其实是透明的。后端要安全会自行实现一套鉴权
    lanyi96
        21
    lanyi96  
       2021-07-09 17:32:33 +08:00   ❤️ 1
    槽点太多
    1.webshell 都是针对后端语言的,js 有个🔨webshell
    2.就算你搞个 xss 也不叫日下来了
    3.搞浏览器有个锤子,对日这个站有个锤子帮助。
    4.测试有授权吗?随便这么发站不是在搞笑吗
    cwyalpha
        22
    cwyalpha  
       2021-07-09 18:28:56 +08:00 via iPhone
    @godblessumilk vue 的站点都这样 上来就把全站 api 给你 但你也得找 api 有没注入上传或者绕过的点。。没有也白搭
    hackyuan
        23
    hackyuan  
       2021-07-09 18:31:40 +08:00
    @3dwelcome 你拿路径有啥用,还能在 nginx 做一层 rewrite,你又不知道真实地址
    lanyi96
        24
    lanyi96  
       2021-07-09 19:16:41 +08:00
    @wangxin13g 这是 LZ,希望不要对安全圈产生误解
    Corua
        25
    Corua  
       2021-07-09 19:50:45 +08:00 via Android
    为什么找到了房门却要在院子里乱挖呢
    virusdefender
        26
    virusdefender  
       2021-07-09 22:19:52 +08:00
    苦心阅读 chrome 源码中。。。。。
    deep123
        27
    deep123  
       2021-07-09 22:23:05 +08:00
    建议先学学开发再学安全吧。
    just1
        28
    just1  
       2021-07-09 22:28:55 +08:00
    通过浏览器层面的 0day 去搞了..........

    你朋友蓝队的那你是做什么的
    我怎么感觉连开发都不像
    SP00F
        29
    SP00F  
       2021-07-10 01:01:33 +08:00
    😧 。。。。。
    前端 webshell 你是要自己日自己吗???

    webshell 都是针对后端的……后端数据交互的,除非是服务端渲染(那就是 Node.js 了)的时候有洞。。。那其实也算是后端了,模板插 shell 文件包含这些不都是属于后端范畴吗?? 😓
    ericgui
        30
    ericgui  
       2021-07-10 01:44:16 +08:00
    你俩要能日进滴滴的后台运营界面,要么你俩被滴滴重金聘用,从此走上人生巅峰;要么你俩牢底坐穿。

    我看好你哦。
    HiCode
        31
    HiCode  
       2021-07-10 08:53:20 +08:00
    楼主这问题问的,有一种找到洞口却不想着讨女生欢心(后端登录接口入手),反而上 v2 问如何洞口拔毛……
    liuzy1999
        32
    liuzy1999  
       2021-07-11 00:13:24 +08:00
    @lanyi96 不能再同意
    q1angch0u
        33
    q1angch0u  
       2021-07-11 05:23:33 +08:00 via iPhone
    纯好奇点进来的 看见标题还在纳闷儿 vue 和 webshell 有什么关系 是有什么新大陆了吗 点进来看了看 然后 。。。。。。
    Zy143L
        34
    Zy143L  
       2021-07-11 13:49:41 +08:00 via Android
    看的有些莫名其妙...
    前端问题再大就是 XSS 那套事情
    主要还是看后端 API 写的有没有过滤参数
    能让你 sql 注入一下啥的
    看 chrome 源码干啥???😅想不通
    godblessumilk
        35
    godblessumilk  
    OP
       2021-07-11 16:16:34 +08:00 via Android
    @Zy143L 浏览器远程代码执行漏洞🌚
    onice
        36
    onice  
       2021-07-23 17:15:04 +08:00
    答案是没有。Vue 和 React 是前端框架,写出来的东西最终是 html 和 javascript 。这两个东西只有浏览器才能运行,但浏览器有安全策略,一个是同源策略,另一个是沙盒。其中沙盒这个特性,会限制你使用 javascript 是无法访问本地资源的,比如访问打印机以及读取文件等。从这一点来说,使用纯 html 和 javascrript 就没办法完成一个 webshell 。并且浏览器是客户端,不是服务端。你也只能搞一些前端安全的东西,就是 XSS 那一套。
    你想拿到服务器 webshell,应该从后端下手。只有后端语言才能完成 webshell 的编写,比如 php 和 jsp,并且依赖于 web 中间件,比如 tomcat 就没办法运行 php 的 webshell 。目标服务器后端采用的 web 中间件,做好信息收集了吗?
    排除掉前端安全漏洞,能直接拿 webshell 漏洞有:文件包含,文件上传,命令执行,SQL 注入。你应该从这些漏洞入手。还有就是通用漏洞,操作系统,web 中间件,开发框架以及开发组件的漏洞。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5515 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 07:06 · PVG 15:06 · LAX 23:06 · JFK 02:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.