1、登录框没有办法 2、分析JS找接口,没有webpack,找不到接口 3、去FUZZ目录,找到包含webpack的目录 4、提取接口,然后构造数据包去访问接口,发现接口居然全部鉴权 5、查看新页面并发现新的JS文件,再次分析接口,发现未鉴权接口 6、对FUZZ到的新登录接口进行参数FUZZ,尝试密码爆破 7、补全新登录接口的返回包字段并替换登录接口的返回包,成功登录
浙公网安备 33010602011771号