一次水平越权漏洞的利用

最新推荐文章于 2024-06-18 10:43:46 发布
最新推荐文章于 2024-06-18 10:43:46 发布
阅读量824 收藏 3
点赞数 1
CC 4.0 BY-SA版权
文章标签: java 服务器 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LinkSLA/article/details/129611345

本文记录了一次水平越权的全过程,大致发生了如下:

  • 修改post参数,导致越权查看和删除;

  • 修改路径(REST风格参数),导致越权修改;

  • 修改cookie字段,绕过登录实现未授权访问;

  • 越权编辑植入xssPayload,获取完整cookie。

好了,开始虚构。

0x01 越权查看和删除

注册登录进入个人中心,一通胡乱测试,发现可通过修改参数来越权查看或修改任意用户资料。这里就拿教育经历做演示吧。

1、先创建,再修改。

2、抓包拦截重放,通过infoId去引用对象,返回用户信息,并进入编辑状态。

3、请求包中通过infoId参数引用对象,sql注入无果,尝试修改infoId值,引用对象成功,返回其他用户信息。删除时修改post参数值同样可越权删除任意用户信息。

4、继续编辑自己的自我评价,点击保存。发现前面infoId的值跑到路径中去了,也尝试修改一下(注意这里涉及修改了,就不要随意修改了,可以尝试修改另外的测试账号的内容)。

5、返回修改成功(去目标账号中刷新,发现资料确实被修改了)。

6、为什么路径也能作为参数测试点呢,因为这里使用的是REST风格参数。

参考链接:https://blog.youkuaiyun.com/weixin_44750790/article/details/118195473

0x02 绕过登录未授权访问

前面一顿操作,一直没能获取到手机号邮箱等敏感信息,结果发现这些基本信息的编辑使用的不是同一套流程,为了能扒出来,就有了下文。

1、下面是预览资料的请求,没看到get/post参数啊,自然不存在“不安全的直接对象引用”这类越权漏洞。

很明显是通过cookie鉴别的,又这么多字段,一般这种我都不考虑越权(头不够铁),不过乍一看cookie中字段值貌似都为base64编码。竟然都是base64编码的,这!

2、控制变量法,逐个字段删除,找出有效的字段(删除某个字段,页面无变化说明该字段是无效字段,相信大家都知道这个技巧)。一番删除操作,只留下了 career_id 这个字段。重放返回该个人资料,修改删除该字段便异常,说明服务端仅校验该字段。

仅校验一个字段,看似使用是简单的base64编码,不错不错!

3、解码看看,5160397估计就是该用户id了。

4、通过Burpsuite的Intruder模块遍历career_id字段,抓个别的id看看。

5、使用该id,成功越权访问到该用户的个人简历信息。

6、接下来,复制该cookie替换掉自己浏览器中的cookie,成功绕过登录,未授权访问其他用户个人中心,且可进行资料编辑删除等操作。

0x03 利用“self-xss“获取更多权限

正经的越权到上面差不多就结束了,下面就是利用的“歪门邪道”了。

1、进一步摸索发现,其实仅仅是个人中心的访问凭证是只校验 career_id 这一个字段,其他页面还校验了更多的cookie字段,只有校验通过才可访问更多页面查看岗位信息、投递简历等操作。

2、其实吧,编辑资料这里还存在个存储型XSS。简历编辑页的存储型xss,基本是个self-xss无疑了,一般谁能访问到我的简历编辑页。

3、竟然都能越权编辑他人简历了,那我们是不是可以在编辑别人的简历的时候向其中植入xssPayload,一套“越权 + self_xss”组合拳。

另外,不难从前面的请求包中看出,这些资料编辑操作,一定是存在CSRF漏洞的。那么,又一套“CSRF + self_xss”组合拳。当然,CSRF肯定不如我们越权编辑稳当。接下来就等目标访问了......

这里就简要分析下思路,就不做演示了。

0x04 总结

总结一下测试水平越权漏洞的基本思路:

  1. 控制变量法删除参数或cookie字段,找到有效参数或cookie字段;

  2. 尽可能的对参数或cookie字段去模糊化,再进一步测试;

  3. 修改参数值或cookie字段,对增删改查等操作进行越权测试;

  4. 越权结合其他漏洞提升危害等级。

越权漏洞也可以结合Authz这类burp插件来测试,不过一般都局限于查看操作的越权。

链接:http://www.360doc.com/content/22/0715/07/77981587_1039917515.shtml

LinkSLA
关注
越权访问的相关问题
OneOneZzzzzz
09-19 1507
什么身份那就做什么身份的事情 身份信息存储在cookie中,拿到这个A用户的cookie去做B用户才能做的事情,如果成功了,那么就是越权成功了 最近在测试某公司的设备时,发现其实很多B用户的url在A用户中只是前端限制了,后端并没有限制或者拿到A用户的cookie通过发包做了B用户才有权限的事情 越权访问分为两种,一个是垂直越权,是普通用户做了超级用户才能做的事情,一个是水平越权,都是同一等级的用户,A用户设置了B用户的东西,或者查询了B用户的信息 1.log用户修改sys用户才有权限设置的选项 首先
越权漏洞
weixin_45634365的博客
03-29 1035
一、越权漏洞简介 越权漏洞是一种很常见的逻辑安全漏洞,是由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能,从而导致越权漏洞。 目前存在着两种越权操作类型:横向越权操作(水平越权)和纵向越权操作(垂直越权)。 水平越权: 相同权限下不同的用户可以互相访问。 水平越权的测试方法,主要是看能否通过用户A的操作影响到用户B。 垂直越权: 向上操作越权:使用权限低的用户可以访问到权限较高的用户,或者操作高权限的东西。 向下操作越权:高
越权cookie与session、认证和授权
热门推荐
foolisheddy
05-24 1万+
越权修改 疑问开始 例子 黑盒 白盒 修复后的代码 session session id 是从哪里开始就有的 session 保存在哪 session_start等函数所做的实际操作是什么 测试会话固定 cookie cookie保存在哪里 cookie名称在哪定义 什么时候服务器给用户cookie 认证和授权 什么是认证和授权 基本认证机制 1认证 1 HTTP的质询响应认证框架 2 认证协议与
越权漏洞利用
fuqinderen的博客
04-30 378
越权漏洞利用 原理: 在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限,权限检验不严格造成漏洞水平越权: 两个相同权限的用户,因为检验不严格造成了A用户可以对B用户的数据进行增删改查。 例图: 实例:首先登录用户A账号进行购买商品,在登陆B购买商品,进行url的修改可以访问到用户A购买的详情页(权限检验不严格),图一为B购买详情页实时登录者为B,图二为A购买详情,但登录者依旧为B用户,图三为当修改url数字时依旧可以看到其他用户的购
一次水平越权漏洞利用
mingyqf的博客
06-13 540
原文链接:https://www.freebuf.com/articles/web/334522.html记一次水平越权漏洞利用倒霉xiong 2022-06-07 10:42:1762551 本文记录了一次水平越权的全过程,大致发生了如下:好了,开始虚构。 1、先创建,再修改。 2、抓包拦截重放,通过infoId去引用对象,返回用户信息,并进入编辑状态。 3、请求包中通过infoId参数引用对象,sql注入无果,尝试修改infoId值,引用对象成功,返回其他用户信息。删除
越权漏洞的挖掘
https://www.cnblogs.com/zpchcbd/
07-07 1097
越权的理解:能够操作超越本身权限之外的操作 比如在一个商城类型网站里面 一般有三种用户 1、游客2、会员3、管理员 越权也分为三种 1、平行越权2、垂直越权3、Cookie越权 我们也可以想下对于越权的操作里应当是服务端没有正确的处理好所接收的参数而接收任意的参数然后返回请求者所要请求的的任意内容 那么这里就有参数这个点: 参数 所在的http报文的位置: 1、get请求参数 2、post请求参数...
越权漏洞挖掘
weixin_30832351的博客
10-27 265
[概念介绍:待补充...] 步骤: 1.熟悉各个功能,列出其中仅仅允许本账号操作的功能2.找各个功能对应的请求,确定哪个(些)参数是决定这些功能正常进行的,称为关键参数3.登录账号A操作某功能X,记录对应具体的关键参数值I4.切换为账号B,操作功能X,抓包把关键参数改为I,放包5.根据结果是否成功查询到A的数据或操作的A的功能,判断是否存在越权备注:1中的难点在于应用往往会很复杂,功能点难以全...
Web安全基础学习:权限控制漏洞水平越权
qq_51862722的博客
06-18 1172
水平越权漏洞:指应用系统在处理同一功能业务时,未对数据和当前用户的权限进行合法性校验,导致用户可越权访问、篡改、删除、添加其他同权限用户的信息,造成越权操作。常见如:访问任意用户订单、修改任意用户密码、删除任意用户信息等。
浅谈逻辑漏洞中的越权访问漏洞
PICACHU+++的博客
07-02 641
水平越权:通过更换的某个ID之类的身份标识,从而使A账号获得(增删查改)B账号的数据垂直越权:使用低权限身份的账号,发送高权限账号的请求,获得其高权限的操作未授权访问:通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作假设用户A和用户B属于同一角色,拥有相同的权限等级,他们能获取自己的私有数据(数据A和数据B),但如果系统只验证了能访问数据的角色,而没有对数据做细分或者校验,导致用户A能访问到用户B的数据(数据B),那么用户A访问数据的这种行为就叫做水平越权访问。
系统垂直越权水平越权漏洞修复记录
代码要像诗
06-18 3800
最近系统的安全渗透测试中,检测出存在垂直越权水平越权漏洞。确实项目的权限管理,只是限制到菜单和按钮粒度,没有细到业务代码的每个接口上。在此记录一下自己的修复思路。 一、什么是垂直/水平越权? ...
96.网络安全渗透测试—[常规漏洞挖掘与利用篇12]—[越权漏洞与测试]
qwsn
02-04 4016
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、越权漏洞与测试 1、什么是越权漏洞 2、越权漏洞的分类 (1)平行越权漏洞: (2)垂直越权漏洞: 3、平行越权测试 (1)两个相同权限的账号 (2)两个相同权限账号的购物订单:`qwsn1的订单` (3)两个相同权限账号的购物订单:`qwsn2的订单` (4)水平越权总结:`【相同用户权限之间的越权就做水平越权】` 4、垂直越权测试 (1)不同权限的账号 (2)用qwsn1用户发布一个帖子 (3)用admin登录
mysql越权漏洞_WEB安全系列之如何挖掘越权漏洞
weixin_34921325的博客
02-19 368
web安全之如何挖掘越权漏洞0x01前言 我作为一个彩笔,很荣幸成为签约作家团的一员,今天,就来讲讲越权,今天会举三个例子,一个代码审计,两个黑盒测试。0x02什么是越权越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相...
逻辑漏洞总结
m0_61786761的博客
08-06 513
新版:https://github.com/cony1/captcha-killer/releases/tag10.1.2。旧版:https://github.com/bit4woo/reCAPTcH/releases/tagl1.0。如果在访问网站数据包中有传输用户的编号,用户组编号,类型编号时,尝试对这个值进行修改,就是测试越权漏洞的基本。工具:https://github.com/ztosec/secscan-authcheck。验证码:爆破,识别,复用,回显,绕过。...
8.水平越权和垂直越权
weixin_41826065的博客
01-06 713
水平越权和垂直越权
burpsuite 越权_安全小课堂第131期【越权漏洞的挖掘】
weixin_39760619的博客
12-19 685
越权漏洞是Web应用程序中一种常见的安全漏洞,攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。JSRC安全小课堂第131期,邀请到g0ku师傅就越权漏洞的挖掘为大家进行分享。同时感谢白帽子们的精彩讨论。什么是越权?京安小妹g0ku:越权是最常见的web应用漏洞之一,即OWASP中的失效的访问控制,对于用...
[ 漏洞挖掘基础篇六 ] 漏洞挖掘之越权漏洞挖掘
qq_51577576的博客
12-23 2542
[ 漏洞挖掘基础篇六 ] 漏洞挖掘之越权漏洞挖掘 越权漏洞越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。
越权 漏洞
不秃头的程序Yang
07-17 2312
代码】越权漏洞
水平越权漏洞产生原因
最新发布
12-31
### 水平越权漏洞的原因及原理 水平越权漏洞(Horizontal Privilege Escalation)指的是同一权限等级内的不同用户之间发生的数据或功能访问超越了应有的边界。具体来说,当应用程序未能正确验证当前用户的标识符或其他唯一识别信息时,可能导致一个普通用户可以访问其他同级用户的敏感数据或执行不应被允许的操作[^3]。 #### 原因分析 1. **缺乏有效的身份验证机制** 如果系统仅依赖于前端传递的身份标识(如URL中的ID参数),而未在服务器端进行严格的校验,则容易受到攻击者的利用。例如,在查看订单详情页面时,如果只是简单地信任客户端提交的商品编号而不做进一步确认,那么恶意用户就可以轻易更改这个编号来窥探别人的订单情况[^4]。 2. **不安全的对象引用** 当程序设计人员假设某些对象引用(Object Reference, OR)是私密的或是难以猜测到的时候,实际上这些OR可能会暴露给未经授权的人士。比如文件路径、数据库记录索引等都属于此类潜在风险点。一旦这类信息泄露出去,并且服务端又缺少必要的防护措施的话,就会形成安全隐患[^1]。 3. **业务逻辑错误** 开发过程中可能存在一些疏忽之处,使得即使是在正常流程下也有可能触发越权行为。例如,在社交网络平台上实现好友间的消息发送功能时如果没有仔细考虑消息接收方的有效性和合法性判断条件,就可能让非朋友关系之间的用户互相通信,进而造成隐私侵犯等问题[^2]。 ```python # 不推荐的做法:直接使用未经验证的用户输入作为查询条件 def get_user_profile(user_id): profile = db.query(f"SELECT * FROM users WHERE id={user_id}") return profile # 推荐做法:加入额外的安全检查以防止横向越权 def secure_get_user_profile(current_user_id, target_user_id): if not is_friend_of(current_user_id, target_user_id): # 额外增加的好友关系验证 raise PermissionDeniedError() profile = db.query(f"SELECT public_info FROM users WHERE id={target_user_id}") # 只返回公开的信息字段 return profile ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值