本文章数据均已脱敏并上报官方!!!
2026年第一天凌晨,研究了一下aapanel分析了一波
找到了后台入口并尝试跨权进入了一波因为前端vue哈哈
随便分析了一下 前台用户端和管理端账户token登录接口都通用
经销商列表后端没做用户权限判定,可以查看经销商、apikey、授权兑换码、机器信息之类的
这里余额增加都竟然没有做权限判断
机器信息
产品激活码
自己给自己上了个玩(后续会回收的 之前尝试弄了宝塔国内版,反馈上去回收了 然后送了点小礼品~ 后续写到博客里吧)
总结下来就是很多功能地方我推测是要走宝塔公司的VPN网络连接到公司内网 才能进行操作,遇到挺多地方返回:
Access Denied! Your Ip Address not allow!
(访问被拒绝!您的IP地址未经授权!)
这里是真的笑死了哈哈哈
已经有临时解决方案,元旦假后在修~ 拉了个小群专程讨论