Next.js CVE-2025–29927 hackinghub

TtTeam 2025-05-03 17:25

启动 BURP SUITE 并检查 HTTP 历史记录。

在这里看到了 307。所以，可能有一个中间件将所有直接访问主页面的请求重定向到登录页面。

后端服务器使用的是 next.js 12.2.5，因此可以尝试利用此易受攻击的 next.js 版本中的 CVE-2025-29927 来滥用此中间件功能

绕过任何中间件

将x-middleware-subrequest标头添加到请求中，看看是否得到任何结果。

当拦截请求时，再次被重定向到登录页面，但是使用 Burp Repeater 时，得到了 200 OK。

因此确认只能拥有静态视图；响应中有两个端点/login 和 /events。

猜测中间件的名称可能是默认的 middleware，并且成功了。您也可以尝试在 header 值中输入true ，这可能也有效。

在访问 /events 端点时，发现了第一个标志

访问子域名

也尝试了 subfinder 和 assetfinder，但什么也没找到。过了一会儿，终于找到了描述，事情终于弄清楚了。

在子域上与上面的事件页面位于同一位置，找到了一个端点。

在 subdomain.regulus.ctfio.com 的 /events/create 上获得了第二面 flag