本文章数据均已脱敏并上报官方!!!
2026年第一天凌晨,闲着没事研究了一下 aapanel,简单分析了一波。
先是找到了后台入口,因为前端是 Vue 写的,顺手就尝试了一下越权进入,哈哈。
简单分析下来发现,前台用户端和管理端的账户 token 登录接口居然是通用的。
经销商列表这边后端没做用户权限校验,可以直接查看经销商信息、apikey、授权兑换码、机器信息之类的内容。
更离谱的是,余额增加这里也没做权限判断。
机器信息
产品激活码
顺手给自己加了点余额玩玩(后续会回收的,之前测过宝塔国内版,反馈上去也回收了,还送了点小礼品~ 这段后面单独写到博客里吧)。
总结下来,很多功能我推测应该是要走宝塔公司的 VPN 接入内网才能操作,所以测的时候不少地方都会返回:
Access Denied! Your Ip Address not allow!
(访问被拒绝!您的IP地址未经授权!)
这里是真的把我笑死了哈哈哈。
临时解决方案已经有了,元旦假期之后再修~ 还专门拉了个小群在讨论。
记录一下,目前已经修复了。对了,过程中还顺带挖出了数据泄漏问题,aapanel 的所有订单数据、xx 数据(太敏感就不发出来了,还有一些涉及内部命名的内容)均已删除!