文章总结： 文档记录了一次众测实战过程，作者通过口令爆破获取初始权限，利用JS接口泄露实现未授权访问进入后台。随后通过修改JWT绕过认证，最终发现并利用PostgreSQLSQL注入漏洞，结合超级用户权限执行pg_read_file读取敏感文件，利用lo_export写入Webshell获取服务器权限。内容涵盖信息收集、逻辑漏洞及数据库提权等关键技术点。 综合评分： 75 文章分类： 渗透测试,实战经验,WEB安全,漏洞POC

实战 | 某众测项目随记

原创

大筒木の辉夜 大筒木の辉夜

jacky安全

2026年3月11日 22:55 北京

免责声明

由于传播、利用本公众号jacky安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号jacky安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉，谢谢！

0x01 大力出奇迹-获取百万数据

经典开局括弧一个URL，对于杰哥而言不过区区小事不足挂齿，猛灌一口止咳药水

爆破出该URL的登陆认证路径，既然有框可🌞D哥肯定是要对其进行疏通工作的，掏出祖传加大加厚浪丫水晶的字典开始口令爆破，不出意外短短三秒中的时间🥵yes-yes-Oh My God

在相应包中出现success字段， 状态码200 （提防外星人窃取这里就不放数据包了😁）

美滋滋🥵🥵🥵

0x02 巧用js-未授权获取百万数据

这里不得不说一点杰哥在渗透时常用的姿势了，常规渗透中他习惯X浅一深，展开说一下这个“深”JS的利用在大家做渗透前戏的时候往往会忽略网站自然流出的JS页面，对于杰哥而言这些JS页面往往是取胜的关键。

    对于JS的收集和分析不多赘述，主流姿势先蹭一蹭然后掰开由四周向中心吮吸偶尔用鼻尖蹭蹭，实在不行就绑根筷子（后台联系阿三哥独家秘方）

利用从js里面提取出来的路径，开始手工构造大法，做渗透嘛，就算是用手也要扣出安服仔的尊严🥵🥵🥵

这里也是成功的扣出了大量乳白色的数据，杰哥有点开始进入状态了O yes

刚刚小小的巢吹了一波后，杰哥也是成功的进了后台

0x03 md5解不出是吧，只能r你了

杰哥进一步开始进行后台渗透比较开心的是抓包的时候看到了管理员密码

但牛魔的是小BK的密码是md5，由于没有主人的密钥无法解开密码

算鸟算鸟，杰哥还是猛猛R吧众所周知杰哥原名杰伯常，说干就干

看到是jwt鉴权的，随手一改：

哦豁，这里杰哥直接九九八十一下抽插中出后台，然后就r了

0x04 what!你怎么知道我是意淫出来的

淫商取代智商这一块儿，杰哥可是各位微友口中的网安性曲星下凡，

对于漏洞挖掘，只需看一眼URL，杰哥牛逼哄哄5600MT/秒的左脑直接复现完整源代码直接进行手扣0day，

0x05 sql注入?文件读取和rce罢了

1/cast(user as int)

狠狠注入进去喽（填满填满）

卧槽还是postgres 超级用户，直接变身杰4邦

润的差不多了，内窥一下读个文件吧🥵

😋payload🥵

1/cast(pg_read_file(‘/etc/passwd’) as int)

插进去🥵

中了中了，一发入魂

还读什么🪝八的版本，数据库啊表啊字段的，我管你这那的，此时杰哥已经被小头控制大头了

不过还好，不是站库分离这里我们可以上上下下aabb直接写文件（别问杰哥是怎么知道根路径的；意淫出来的）

开启暴力打桩

1/cast((select lo_from_bytea(12346,’123456′)) as int) 1/cast((select lo_export(12346, ‘/xxx/yyy/zzxxccee.txt’))  as int)

啊～打完收工ovo

写到这里笔者🩲湿了还请各位保持内裤干燥🎉

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：jacky安全 大筒木の辉夜 大筒木の辉夜《实战 | 某众测项目随记》