学习golang编程练习写的一款简单的gin-vue-admin框架利用小工具
能力有限,代码写得很垃圾,各位师傅们轻喷,也欢迎各位师傅指导与讨论
声明:此工具仅作学习交流用,不要做任何违法行为,如果违法&恶意操作,与本人无关!!!
相关漏洞原理:http://47.109.35.4/posts/src-gin-vue-admin%E6%94%BB%E5%87%BB%E9%9D%A2/
- 前端绕过
- 绕过思路1:只判断
captchaId
与captcha
是否为空,不校验验证码是否正确 - 绕过思路2:只判断
captchaId
与captcha
是否为空,不校验验证码是否正确
- 绕过思路1:只判断
- 绕过后撞库
- Username:内置字典,默认
"admin", "test", "demo", "guest", "test1", "user", "ceshi", "test123", "system", "web", "sys", "admin1"
- password:加载根目录
bigpasswdDict.txt
文件
- Username:内置字典,默认
- 漏洞利用
- 提权/后门利用(CNVD-2024-00979)
- 读取系统配置利用
gin-vue-admin-exp.exe -u https://www.baidu.com (判断前端是否绕过)
gin-vue-admin-exp.exe -u https://www.baidu.com -x xxxx (撞库后获取x-token进行漏洞利用)
编译命令
go mod init
go mod tidy
go build -o gin-vue-admin-exp.exe
gin-vue-admin-exp.exe -u https://www.baidu.com
gin-vue-admin-exp.exe -u https://www.baidu.com -x xxxx