水平越权&垂直越权

无聊的知识

已于 2022-07-07 19:01:56 修改

阅读量8.2k

点赞数 10

分类专栏： web渗透文章标签：服务器运维

于 2022-07-07 18:56:07 首次发布

本文链接：https://blog.youkuaiyun.com/weixin_54882883/article/details/125665115

版权

web渗透专栏收录该内容

43 篇文章

订阅专栏

本文详细解析了Web应用中的两种主要越权类型：水平越权和垂直越权，以及访问控制中的验证问题。水平越权指同级别用户间权限共享，如普通用户访问其他用户数据；垂直越权则是低权限用户获取高权限，如普通用户获取管理员权限。文中通过实例展示了数据包分析和漏洞复现的过程，指出当验证丢失或脆弱时，可能存在越权漏洞。同时提到了Authz工具作为越权漏洞检测的辅助手段。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

在这里插入图片描述

#知识点：

1、水平越权-同级用户权限共享

2、垂直越权-低高用户权限共享

3、访问控制-验证丢失&取消验证&脆弱验证

4、脆弱验证-Cookie&Token&Jwt等

解释

水平越权

就是同级用户之间的越权，打个比方现在有ABC三个用户，A是管理员，BC都是普通用户，现在B能够使用C这个用户的权限这就是水平越权，

垂直越权

他这个就是不一样拉，他这个就是通过低级权限跨越到高级权限，用高级权限干高级权限的事情，来我们继续打比方，A是超级管理员,BC是普通用户，现在这个B啊，通过了某些手段，跨越获得了A超级管理员的权限，这就是垂直越权，垂直越权的特点就是以低级权限向高级权限跨越

访问控制

验证丢失

未包含引用验证代码文件等

取消验证

支持空口令,匿名,白名单等

脆弱验证

Cookie&Token&Jwt 不安全的验证逻辑等

在这里插入图片描述

详解

越权的话

我口述一下啊

就是当我要改admin1这个用户的密码为123456的时候

我抓取更改的数据包，我把admin1 改成admin 如果admin 密码改成看123456 就存在越权漏洞了

数据包分析-大概了解

GET /xscj/pikachu-master/vul/overpermission/op1/op1_mem.php?username=admin1&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://127.0.0.1/xscj/pikachu-master/vul/overpermission/op1/op1_mem.php
Cookie: PHPSESSID=69b4947564935a6f50ced0d97e3c5a32
Connection: close

发现urlh后面有个username参数，参数值对应的是用户名，我们尝试下别的用户名

username=admin

GET /xscj/pikachu-master/vul/overpermission/op1/op1_mem.php?username=admin&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://127.0.0.1/xscj/pikachu-master/vul/overpermission/op1/op1_mem.php
Cookie: PHPSESSID=69b4947564935a6f50ced0d97e3c5a32
Connection: close

漏洞浮现

POST /ww/x.php HTTP/1.1
Host: .dwei.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:100.0) Gecko/20100101 Firefox/100.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 90
Origin: http://cs.odwei.com
DNT: 1
Connection: close
Referer: http://.dwei.com/ww/x.php
Upgrade-Insecure-Requests: 1

title=&titl=&titla=%E6%9D%8E%E5%9B%9B&titlb=%E8%8B%A6%E8%8B%A6&titld=&titlf=&titlg=&titlh=

在这里插入图片描述

%E6%9D%8E%E5%9B%9B&titlb ==李四
%E8%8B%A6%E8%8B%A6== 苦苦

我们现在要改的是把李四的名字改成苦苦

我们现在越权把李四改成麻子【麻子是存在的用户】

那么这样就会越权把麻子改成苦苦

在这里插入图片描述

漏洞工具

Authz

这个工具他是burp中的一个工具

他是一个半自动挖掘越权漏洞的工具

安装过程

复现一下下

首先啊这个复现的话需要两个账户一个是A一个是B

就是通过A越权到B

在这里插入图片描述

数据包已经抓取到了

那么现在就需要将两个账户都退出登录

然后呢我们把数据包

发送到Authz

在这里插入图片描述

cookie为空

然后全选Run

在这里插入图片描述

首先绿色代表正常访问

在没有cookie的情况下一样可以访问成功

这种就可能存在漏洞了