WebRecon 插件实战

WebRecon 重磅发布：团队自研集成化渗透测试插件

基于 Chrome Manifest V3 的前端安全辅助插件，面向 Web 安全测试场景，集成输入点发现、CSP 读取、资产嗅探、框架指纹、SQL HackBar、Vue 路由分析、JS 开关与 Fuzz 字典扫描等能力，帮助在合法授权范围内更高效地完成排查与验证

SQL 注入

目标站点如下

打畅捷通 T+ 的 SQL 注入 Nday

可以先访问这个路径，然后在插件中加载 URL 选择 POST 方式

传输数据选择 JSON 格式，成功注入出数据库版本号

发现参数 msg 弹窗回显到网页上，直接构造 Payload 弹窗

通过插件指纹识别出是 MinIO Console

搜索默认密码 minioadmin/minioadmin 直接进入后台

因功能与 SQL 注入基本重复，所以可以直接在 SQL 注入模块中使用就行

检测到网站使用了 3.2.33 版本

一般都是 Vite+Vue 开发，所以直接打 Vite-CVE-2025-30208