项目笔记:Webgoat靶场通关教程之Broken Access Control

原创 已于 2025-11-16 22:02:19 修改 · 556 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记

于 2025-11-16 02:21:26 首次发布

0x01.Broken Access Control(失效的访问控制)

       1.会话劫持

         接着上篇文章继续讲,打开网页显示试图预测“hijack_cookie”值

一看就是要进行cookie爆破,随便填点击登录然后查看cookie

记下来,之后删除cookie,重复个两三次观察规律

规律推导:前缀43999087440979xxxx为固定模式,后缀17631xxxxxxxx为时间戳或递增计数器。

暴力破解有效Cookie 打开抓包软件,随便填一些数字登录抓包

  • 工具选择:使用Burp Suite的Intruder模块WebScarab进行枚举攻击。
  • 因为难度较低且有规律可循,所以自己制定简单列表可以否则设置攻击载荷太长了
    2.不安全的直接对象引用

      直接对象引用是指应用程序使用客户端提供的输入来访问数据和对象,当引用未得到正确处理并允许绕过授权或披露可用于 执行用户不应执行或访问的作或访问数据。 假设作为用户,您查看您的个人资料,URL 如下所示:

https://some.company.tld/app/user/23398

https://some.company.tld/app/user/23398

https://some.company.tld/app/user/23398您可以在那里查看您的个人资料。如果您导航到以下位置,会发生什么情况:

https://some.company.tld/app/user/23399

https://some.company.tld/app/user/23399或在末尾使用另一个数字。如果可以作号码(用户 ID)并查看其他人的个人资料,则对象引用是不安全的。 当然,这可以检查或扩展到 GET 方法之外来查看数据,也可以作数据。

打开会让你输入账号密码进行身份验证输入他给的 “tom”,"cat"。

到后面意思就是让你抓包查看个人资料里没有的字段然后输入下面框框里我们先打开抓包,然后点击查看个人资料,之后放到Repeater发送看看

会发现圈起来的那俩字段没有,在下面提交就行,记得只提交标签,中间用英文逗号隔开(我一直提交不成功,吐了)

        后面会让你用另一种方式查看自己的个人资料,就是构造url查看,前面抓包已经知道账号路径和uid,直接构造url试试

后面又让查看其它人资料,但是我们不知道他们uid啊,那咋办——只能爆破呗

抓包发到intuber ,根据我们自己的uid设置位数最好

爆破成功

3.缺少功能级别访问控制

        访问控制(例如使用输出编码防止 XSS)可能很难维护。必须确保它在整个应用程序中得到充分执行,从而在每个方法/函数中得到充分执行。

  • 定义:功能级别访问控制是指应用程序对每个功能模块(如页面、API端点)实施细粒度的权限验证,确保只有授权用户能执行特定操作。若缺失,攻击者可绕过权限限制,访问未授权功能(如管理员面板、数据修改接口)。
  • 风险类型
    • 水平越权:同权限用户访问他人数据(如普通用户查看/修改其他用户信息)。
    • 垂直越权:低权限用户执行高权限操作(如普通用户访问管理员功能)。
    • 路径遍历:通过修改请求参数访问隐藏目录或敏感文件(如../../../../etc/passwd)。

打开发现让查找一些隐藏项目

通过他的提示按f12找找看吧,发现在输入框上面字段中好像有一个控件UI没显示出来

前俩控件书信都是dropdown,最后一个前面加了个hidden-menu-item ,抱着试一试的心态把他删了然后再看看页面变化,发现多了个admin里面有userss属性和config属性,填上去就行。(记得留意这三个控件链接)

再往后

他让收集用户信息,还记得前面那三个属性的路径吗

access-control/users

access-control/users-admin-fix

access-control/config

随便访问一个,发现报错了

        发现报错了,这里看看源码加了什么条件吧(黑盒只能看手法了~)

这里要求请求的Content-Type头必须为application/json,那我们添加content-type: application/json

发现返回了多个用户哈希值,随便复制一个粘上去就好了

再往后,他说这个这个漏洞已经修复,只有管理员能看到,让我们再试一次。

看源码

细心的朋友看到下面有个adduser方法,应该是添加新用户,尝试用此提权(记得改成post提交)

现在我们有管理员权限了,在访问试试,搞了半天还是不行,真的要吐了

看了知乎大佬的文章才知道:

现在的问题是,虽然我们成功越权创建了一个jack001的管理员用户,但是并没法登录啊。

继续看源码,发现users-admin-fix这个接口虽然会校验当前用户是否是管理员,它校验的方法是从后端的登录态中取到当前用户的用户名,然后判断它是不是管理员,如果是就返回数据。

参考:A1-Spoofing an Authentication Cookie - 知乎 (zhihu.com)

退出当前登录账户然后注册一个跟上面提交提权账户一样的账户

之后在这里面提权再访问

成功找到哈希值(会发现这次哈希值不一样)

4.伪造身份验证 Cookie

        伪造身份验证Cookie是指攻击者通过非法手段生成或篡改有效的Cookie值,从而冒充合法用户身份访问受保护资源。Cookie作为Web应用中用户身份的“临时通行证”,通常包含会话ID、角色权限等敏感信息。若其生成逻辑存在缺陷或未受保护,攻击者可利用漏洞伪造有效Cookie,绕过登录验证。

        进去他给了俩账户

登陆一下试试,发现有base64加密,解码出一段字符,另一个也是如此。

我们对其结果进行尝试其他解码,发现是base64-16进制-文本,这样发现前面字符都一样,后面为账户名字倒写

那么我记得前面有个叫tom的账户,我们进行伪造试试

成功伪造 NDM3YTRlNzU0MTZhNjI2MTc1NzM2ZDZmNzQ=

然后随便登录抓包伪造cookie(spoof_auth=NDM3YTRlNzU0MTZhNjI2MTc1NzM2ZDZmNzQ=),成功~

未完待续...

山鬼笔记
关注
WebGoat 8.1 靶场 刷题通关教程全攻略 - General
Peter Kim的博客
04-11 3648
WebGoat 8.1 靶场刷题全攻略 - GeneralHTTP Basics2. Try It!3. The QuizHTTP Proxies6. Intercept and modify a requestDeveloper Tools4. Try It! Using the console6. Try It! Working with the Network tabCrypto Basiscs2. Base64 Encoding3. Other Encoding4. Plain Hashing6.
WebGoat (A5) Broken Access Control -- Missing Function Level Access Control (缺少功能访问控制)
箭雨镜屋
03-17 2625
目录 一、一起来玩躲猫猫ヾ(•ω•`)o 第2页 第3页 1、简单思路 2、复杂思路 二、简陋的脑图 一、一起来玩躲猫猫ヾ(•ω•`)o 第2页 要求找到两个藏起来的菜单项 、 我用的是chrome浏览器,鼠标放到菜单上,比如Account那一条那儿,右键--检查,就会弹出开发者工具,附近的元素展开来找一找,发现了一个隐藏的Admin大选项下面有两个带url的隐藏的小选项:Users和Config。 把Users和Config分别填到两个输入框中并提交,即可通关。 第3页 这
项目笔记Webgoat靶场通关教程之Cryptographic Failures
最新发布
basicsffds的博客
11-17 679
XOR(异或)加密是一种基础的对称加密方式,其核心逻辑是明文与密钥逐位异或得到密文,解密时密文与同一密钥再次异或即可还原明文。由于XOR操作具有自反性,因此加密与解密使用相同算法。 所以要破解xor编码,就要穷举他的密钥,这边成功找到了他的密钥为”_“(下划线) 对称加密(Symmetric Encryption) 核心原理:加密与解密使用同一密钥(如),算法是公开的,安全性依赖密钥保密性。典型算法: 工作流程: 非对称加密(Asymmetric Encryption)
WebGoat通关攻略
热门推荐
weixin_45539802的博客
01-06 3万+
WebGoat通关攻略 目录WebGoat通关攻略前言一、环境配置1.Docker配置2.WebGoat获取3.WebGoat连接二、通关攻略(建设中)1.Introduction2.General3.Injection4.Broken Authentication5.Sensitive Data Exposure6.XML External Entities(XXE)7.Broken Access Control8.Cross-Site Scripting(XSS)9.Insecure Deseriali
WebGoat通关攻略与详细解析——SQL Injection(intro)篇
qq_43739482的博客
10-18 6039
WebGoat靶机通关攻略,详细描述了题目的要求、解题思路和过程、通关答案。
Webgoat-Hijack a session通关答题教程
空城雀的博客
09-01 2299
答题思路: 1.先获取合法的id 2.答题时,拦截请求,换成合法的id 3.服务器会返回hijack_cookie 4.找hijack_cookie有什么规律,自己猜出一个新的正确的hijack_cookie 5.使用新hijack_cookie发送请求,服务器返回成功,即可通关。 用到的工具: 1.burp
访问控制失效:安全漏洞解析(WebGoat Broken Access Control讲解)
qq_69130727的博客
08-28 1224
对于访问控制失效,其防御的核心思想始终如一:在服务器端对每一个请求实施强制性的、基于角色和上下文的权限检查,绝不信任客户端传来的任何信息(如URL参数、隐藏字段、HTTP头)来判断用户的权限。
WebGoat 靶场 JWT tokens 四 五 七关通关教程
qq_45953122的博客
10-08 1580
JWT的三个部分:头部(Header)、载荷(Payload)和签名(Signature)也就是Cookie字段的access_token的值。重点在 payload 声明中的 exp 和 username,exp 是 token 过期的时间戳,时间戳需要修改到当前时间之后,也就让它不过期。它是 WebGoat 服务器 JAR 文件,这是一个故意不安全的 Web 应用程序,用于安全培训和测试。粘贴到bp中(注:不需要复制其jwt的第三部分,但要跟上连接第三部分的。
面试必备:WebGoat实战通关指南!一(General、Injection)
03-22
webgoat通关【2024年WebGoat8.2.2通关记录一(General、Injection)简介】 内容概要: 本文为网络安全初学者提供了一个全面的学习指南,通过通俗易懂的语言,介绍了WebGoat8.2.2版本的General和Injection两个关卡的...
webgoat靶场需要自行搭建
01-19
WebGoat是一个知名的在线安全靶场,主要用于网络安全教育和练习,尤其在Web应用程序安全领域具有重要地位。这个项目由OWASP(开放网络应用安全项目)维护,旨在帮助开发者、安全人员以及学生理解和学习常见的Web应用...
WebGoat靶场JWT tokens四五关通关教程(JWT token安全)
No_1_is_me的博客
11-11 2538
WebGoat靶场JWT tokens四五关通关教程
失效的访问控制及漏洞复现
来日可期的博客
09-01 3121
失效的访问控制漏洞是指系统在实施访问控制策略时出现错误或缺陷,导致攻击者能够绕过或越权访问敏感资源。这些错误可能包括缺乏有效的身份验证、授权检查不完整或不正确配置的访问控制列表(ACL)等。
webgoat-Broken Access ControlI 访问控制失效
seanyang_的博客
11-06 1602
直接对象引用直接对象引用是指应用程序使用客户端提供的输入来访问数据和对象。例子使用 GET 方法的直接对象引用示例可能如下所示id=12345img=12345其他方法POST、PUT、DELETE 或其他方法也可能容易受到影响,主要仅在方法和潜在有效载荷上有所不同。不安全的直接对象引用当引用未得到正确处理时,这些被认为是不安全的,并允许授权绕过或披露可用于 执行用户不应能够执行或访问的操作或访问数据。
webgoat-Request Forgeries 请求伪造
seanyang_的博客
11-07 1466
跨站请求伪造,又称一键攻击或会话骑乘,简称CSRF (有时发音为 sea-surf)或 XSRF,是一种恶意利用网站,其中传输未经授权的命令 来自网站信任的用户。与跨站点脚本 (XSS) 不同,XSS 利用用户对特定站点的信任,CSRF 利用网站对用户浏览器的信任。这是最简单的 CSRF 攻击。如果用户仍然登录到 bank.com 的网站,这个简单的GET请求会将资金从一个账户转移到另一个账户。当然,在大多数情况下,网站可能很多控制来限制这样的请求。
Webgoat8通关笔记(1)
weixin_44689968的博客
06-01 3671
(A1)SQL Injection(intro) X-02 本题:查看示例表,尝试检索员工Bob Franco所在部门。主要考察sql语句的查询 (1)select department from employees where first_name=‘Bob’; (2)select department from employees where last_name=‘Franco’; x-03 本题:把‘Tobi Barnett’的部门改成销售部。 update employees set departm
WebGoatV8.1(A3-A5)详细过关教程
weixin_51566481的博客
08-29 2256
webgoat
WebGoat5.4 Cross-Site Scripting (XSS) 开发版本关卡 通关攻略
weixin_46356548的博客
12-27 4304
本人在学习WebGoat5.4时,发现有些题目需要在开发版本上完成,网上能找到的所谓的通关教程,都说这些题目做不了,经过尝试发现,其实是可以完成的,本篇将对这部分进行重点说明。
webgoat部分靶场通关
weixin_52963334的博客
09-14 735
部分webgoat关卡通关教程
WebGoat攻略 for Mac(7)
qq_42955000的博客
04-20 536
WebGoat攻略 for Mac(7)一、题目攻略Challenges(挑战)1.Admin lost password(管理员丢失密码)2.Without password(没有密码)3.Admin password reset(管理员密码重设)4.Without account(没有账户) 一、题目攻略 Challenges(挑战) 1.Admin lost password(管理员丢失密码) 2.Without password(没有密码) 3.Admin password reset(管理员密码重
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值