web安全逻辑越权水平垂直&Burp插件项目

一、认识越权逻辑漏洞的原理
攻击者在获得低权限用户帐后,尝试改变一些可控变量的参数,达到可以拥有同级别或高级别的权限,本质上就是拥有了同类权限或超出应该拥有的权限范围之外。

2.越权漏洞分类
(1)水平越权
横向拥有了同等安全等级、密级等衡量标准账户的权限。
(2)垂直越权
纵向拥有了更高安全等级、密级等衡量标准账户的权限。
(3)交叉越权
既可以水平,又可以垂直

3.一般越权发生的位置
(1)修改、重置、找回其他账户密码。
(2)查看、修改其他账户未公开的web安全逻辑越权水平垂直&Burp插件项目

二、水平越权-墨者环境身份认证失效漏洞

环境开启后来到如下界面
web安全逻辑越权水平垂直&Burp插件项目
这里给出了系统测试账户(test/test),我们可以登陆进去
web安全逻辑越权水平垂直&Burp插件项目
登陆后我们可以看到,会员号:20128880322,于是猜想可能在会员号处产生水平越权漏洞
web安全逻辑越权水平垂直&Burp插件项目
这里的要求是找到马春生同学,我们在图片处发现,图片名和会员号有关
web安全逻辑越权水平垂直&Burp插件项目

web安全逻辑越权水平垂直&Burp插件项目
那么马春生会员号为:20128880316,最后通过网络抓包发现json.php这处接口改成马春生会员号
web安全逻辑越权水平垂直&Burp插件项目
web安全逻辑越权水平垂直&Burp插件项目
就发现了账号和密码,对密码进行MD5解码、密码:9732343,登陆拿到了KEY值
web安全逻辑越权水平垂直&Burp插件项目

三、垂直越权-Pikachu&Minicms&掌控cms操作

1.Pikachu
来到靶场越权漏洞界面
web安全逻辑越权水平垂直&Burp插件项目
首先是管理员登陆界面,可以进行查看、添加、删除等操作
web安全逻辑越权水平垂直&Burp插件项目

然后就是普通用户界面,普通用户只能查看
web安全逻辑越权水平垂直&Burp插件项目
这里有个操作就是登陆admin账号添加用户,进行抓包然后退出,此时再登陆普通用户抓包,把普通用户的session于此前的admin-session替换会发现添加成功,这样就导致了普通用户拥有管理员用户的操作,造成垂直越权漏洞
web安全逻辑越权水平垂直&Burp插件项目
这里已经抓到管理员添加用户的操作,此时退出admin账号,登陆普通用户
web安全逻辑越权水平垂直&Burp插件项目

把普通用户的PHPSESSID替换到我们刚刚抓到的管理员添加用户的PHPSESSID
web安全逻辑越权水平垂直&Burp插件项目
web安全逻辑越权水平垂直&Burp插件项目

会发现普通用户能够执行添加用户的操作,那么这越权漏洞一般是通过白盒审计源代码得出
web安全逻辑越权水平垂直&Burp插件项目
op2_admin_edit.php 只判断了是否登陆 没有验证级别 所以存在越权

2.Minicms
首先正常admin,123456登陆进去
web安全逻辑越权水平垂直&Burp插件项目
web安全逻辑越权水平垂直&Burp插件项目
在管理文章草稿箱处,复制这个回收URL:http://127.0.0.1/minicms/mc-admin/post.php?delete=zutu5f&state=draft&date=&tag=

web安全逻辑越权水平垂直&Burp插件项目
然后退出在登陆界面访问这个删除的URL,发现文章被删除
web安全逻辑越权水平垂直&Burp插件项目
web安全逻辑越权水平垂直&Burp插件项目
这里就造成了无登陆越权执行管理员删除这个操作

3.掌控cms
地址:http://59.63.200.79:8002/d/index.asp
web安全逻辑越权水平垂直&Burp插件项目
先注册一个号
web安全逻辑越权水平垂直&Burp插件项目
完事之后登陆点击首页抓包,shenfen=2改成shenfen=1
web安全逻辑越权水平垂直&Burp插件项目
web安全逻辑越权水平垂直&Burp插件项目
改完之后发现还是不行,发现原来还要修改admin=0改成admin=1
web安全逻辑越权水平垂直&Burp插件项目
payload如下

realname=ddd&dlcs=1&username=ddd&wxqy=&bumen=ddd&loginname=ddd&danwei=ddd&shenfen=1&UserID=14&admin=1&wxlb=&phone=ddd&CookieDate= 

web安全逻辑越权水平垂直&Burp插件项目
参考:https://www.jianshu.com/p/29ee4a0dac60

四、插件检测-Burpsuite&Authz使用说明

插件地址https://github.com/portswigger/authz
快速安装->在BurpSuite的BApp Store应用市场可以直接下载安装:
web安全逻辑越权水平垂直&Burp插件项目
使用Authz插件检测
这里我们还是用Pikachu的靶场,用不同账号进行登陆
A账户:lucy/123456
B账户:kobe/123456

先登陆A账户,查看个人信息抓包发送给Authz
web安全逻辑越权水平垂直&Burp插件项目

web安全逻辑越权水平垂直&Burp插件项目
然后再登陆B账户把cookie填入到New Header
web安全逻辑越权水平垂直&Burp插件项目
web安全逻辑越权水平垂直&Burp插件项目
点击Run Selected Request,显示绿色表示存在越权
web安全逻辑越权水平垂直&Burp插件项目
具体参考:http://www.secwk.com/2019/06/27/6178/

五、自动项目-中通安全Secscan-authcheck

项目地址:https://github.com/ztosec/secscan-authcheck
参考:https://mp.weixin.qq.com/s/vwF7aTvk-U-SnJqO3f80gA

web安全逻辑越权水平垂直&Burp插件项目

版权声明:玥玥 发表于 2021-08-05 20:52:38。
转载请注明:web安全逻辑越权水平垂直&Burp插件项目 | 女黑客导航