搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      測試水平越權(quán)漏洞的基本思路

      馬哥Linux運(yùn)維 ? 來源:馬哥Linux運(yùn)維 ? 作者:馬哥Linux運(yùn)維 ? 2022-07-22 11:01 ? 次閱讀

      本文記錄了一次水平越權(quán)的全過程,大致發(fā)生了如下:

      修改post參數(shù),導(dǎo)致越權(quán)查看和刪除;

      修改路徑(REST風(fēng)格參數(shù)),導(dǎo)致越權(quán)修改;

      修改cookie字段,繞過登錄實(shí)現(xiàn)未授權(quán)訪問;

      越權(quán)編輯植入xssPayload,獲取完整cookie。好了,開始虛構(gòu)。

      0x01 越權(quán)查看和刪除

      注冊登錄進(jìn)入個(gè)人中心,一通胡亂測試,發(fā)現(xiàn)可通過修改參數(shù)來越權(quán)查看或修改任意用戶資料。這里就拿教育經(jīng)歷做演示吧。

      1、先創(chuàng)建,再修改。

      0a9a2fae-0511-11ed-ba43-dac502259ad0.jpg

      2、抓包攔截重放,通過infoId去引用對象,返回用戶信息,并進(jìn)入編輯狀態(tài)。

      0aa617b0-0511-11ed-ba43-dac502259ad0.jpg

      0abb5a6c-0511-11ed-ba43-dac502259ad0.jpg

      3、請求包中通過infoId參數(shù)引用對象,sql注入無果,嘗試修改infoId值,引用對象成功,返回其他用戶信息。刪除時(shí)修改post參數(shù)值同樣可越權(quán)刪除任意用戶信息。

      0ac8a4c4-0511-11ed-ba43-dac502259ad0.jpg

      4、繼續(xù)編輯自己的自我評價(jià),點(diǎn)擊保存。發(fā)現(xiàn)前面infoId的值跑到路徑中去了,也嘗試修改一下(注意這里涉及修改了,就不要隨意修改了,可以嘗試修改另外的測試賬號的內(nèi)容)。

      0ad99892-0511-11ed-ba43-dac502259ad0.jpg

      5、返回修改成功(去目標(biāo)賬號中刷新,發(fā)現(xiàn)資料確實(shí)被修改了)。

      0ae95bc4-0511-11ed-ba43-dac502259ad0.jpg

      6、為什么路徑也能作為參數(shù)測試點(diǎn)呢,因?yàn)檫@里使用的是REST風(fēng)格參數(shù)。

      0af41f78-0511-11ed-ba43-dac502259ad0.jpg

      0x02 繞過登錄未授權(quán)訪問

      前面一頓操作,一直沒能獲取到手機(jī)號郵箱等敏感信息,結(jié)果發(fā)現(xiàn)這些基本信息的編輯使用的不是同一套流程,為了能扒出來,就有了下文。

      1、下面是預(yù)覽資料的請求,沒看到get/post參數(shù)啊,自然不存在“不安全的直接對象引用”這類越權(quán)漏洞。

      0b01cd26-0511-11ed-ba43-dac502259ad0.jpg

      很明顯是通過cookie鑒別的,又這么多字段,一般這種我都不考慮越權(quán)(頭不夠鐵),不過乍一看cookie中字段值貌似都為base64編碼。竟然都是base64編碼的,這!

      2、控制變量法,逐個(gè)字段刪除,找出有效的字段(刪除某個(gè)字段,頁面無變化說明該字段是無效字段,相信大家都知道這個(gè)技巧)。

      一番刪除操作,只留下了 career_id 這個(gè)字段。重放返回該個(gè)人資料,修改刪除該字段便異常,說明服務(wù)端僅校驗(yàn)該字段。

      0b1ada64-0511-11ed-ba43-dac502259ad0.jpg

      僅校驗(yàn)一個(gè)字段,看似使用是簡單的base64編碼,不錯(cuò)不錯(cuò)!

      3、解碼看看,5160397估計(jì)就是該用戶id了。

      0b266a96-0511-11ed-ba43-dac502259ad0.jpg

      4、通過Burpsuite的Intruder模塊遍歷career_id字段,抓個(gè)別的id看看。

      0b34bbe6-0511-11ed-ba43-dac502259ad0.jpg

      0b416de6-0511-11ed-ba43-dac502259ad0.jpg

      5、使用該id,成功越權(quán)訪問到該用戶的個(gè)人簡歷信息。

      0b4ca71a-0511-11ed-ba43-dac502259ad0.jpg

      6、接下來,復(fù)制該cookie替換掉自己瀏覽器中的cookie,成功繞過登錄,未授權(quán)訪問其他用戶個(gè)人中心,且可進(jìn)行資料編輯刪除等操作。

      0b582cca-0511-11ed-ba43-dac502259ad0.jpg

      0x03 利用“self-xss“獲取更多權(quán)限

      正經(jīng)的越權(quán)到上面差不多就結(jié)束了,下面就是利用的“歪門邪道”了。

      1、進(jìn)一步摸索發(fā)現(xiàn),其實(shí)僅僅是個(gè)人中心的訪問憑證是只校驗(yàn) career_id 這一個(gè)字段,其他頁面還校驗(yàn)了更多的cookie字段,只有校驗(yàn)通過才可訪問更多頁面查看崗位信息、投遞簡歷等操作。

      2、其實(shí)吧,編輯資料這里還存在個(gè)存儲型XSS。簡歷編輯頁的存儲型xss,基本是個(gè)self-xss無疑了,一般誰能訪問到我的簡歷編輯頁。

      3、竟然都能越權(quán)編輯他人簡歷了,那我們是不是可以在編輯別人的簡歷的時(shí)候向其中植入xssPayload,一套“越權(quán) + self_xss”組合拳。

      另外,不難從前面的請求包中看出,這些資料編輯操作,一定是存在CSRF漏洞的。那么,又一套“CSRF + self\_xss”組合拳。

      當(dāng)然,CSRF肯定不如我們越權(quán)編輯穩(wěn)當(dāng)。

      接下來就等目標(biāo)訪問了。..。..

      這里就簡要分析下思路,就不做演示了。

      0x04 總結(jié)

      總結(jié)一下測試水平越權(quán)漏洞的基本思路:

      控制變量法刪除參數(shù)或cookie字段,找到有效參數(shù)或cookie字段;

      盡可能的對參數(shù)或cookie字段去模糊化,再進(jìn)一步測試;

      修改參數(shù)值或cookie字段,對增刪改查等操作進(jìn)行越權(quán)測試;

      越權(quán)結(jié)合其他漏洞提升危害等級。越權(quán)漏洞也可以結(jié)合Authz這類burp插件來測試,不過一般都局限于查看操作的越權(quán)。

      審核編輯:彭靜
      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報(bào)投訴
      • 編碼
        +關(guān)注

        關(guān)注

        6

        文章

        942

        瀏覽量

        54836
      • Cookie
        +關(guān)注

        關(guān)注

        0

        文章

        30

        瀏覽量

        10410
      • 漏洞
        +關(guān)注

        關(guān)注

        0

        文章

        204

        瀏覽量

        15377

      原文標(biāo)題:一次水平越權(quán)漏洞的利用

      文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運(yùn)維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      收藏 人收藏

        評論

        相關(guān)推薦

        FPGA打磚塊小游戲設(shè)計(jì)思路

        HDL,?Vivado 平臺上開發(fā)打磚塊小游戲并使用 PS2 與 VGA 的基本思路: 一、整體架構(gòu)設(shè)計(jì) 1. 輸入模塊: ? PS2 接口模塊:負(fù)責(zé)與 PS2 設(shè)備(如游戲手柄)進(jìn)行通信,接收手柄
        的頭像 發(fā)表于 12-09 16:57 ?200次閱讀

        常見的漏洞分享

        漏洞,利用swaks可以偽造郵件發(fā)到自己郵箱測試。163可行 #sourcemap文件泄露漏洞 油猴腳本:sourcemap-searcher、burp hae插件 在F12控制臺輸入sms(),下載
        的頭像 發(fā)表于 11-21 15:39 ?126次閱讀
        常見的<b class='flag-5'>漏洞</b>分享

        基于ADS131m04和STM32F103搭建了一個(gè)簡單的采樣電路,如何獲得比較高的通道間采樣一致性?

        。 我的電路基本就是參考設(shè)計(jì)的樣子,只不過右邊是STM的MCU MCU的時(shí)鐘是8M,給AD輸出的時(shí)鐘也是8M,其他是參考TI實(shí)例代碼修改的程序,基本思路是: 系統(tǒng)初始化——配置MCU——配置
        發(fā)表于 11-21 07:08

        監(jiān)控平臺設(shè)計(jì)思路

        電子發(fā)燒友網(wǎng)站提供《監(jiān)控平臺設(shè)計(jì)思路.pptx》資料免費(fèi)下載
        發(fā)表于 10-09 11:18 ?0次下載

        怎么樣提高verilog代碼編寫水平?

        ,共同進(jìn)步。 歡迎加入FPGA技術(shù)微信交流群14群! 交流問題(一) Q:怎么樣提高verilog代碼編寫水平?Cpu 從事DFT工作。目前僅限于寫一些簡單模塊。自學(xué)的話如何提高verilog編寫水平
        發(fā)表于 09-25 20:05

        漏洞掃描一般采用的技術(shù)是什么

        漏洞掃描是一種安全實(shí)踐,用于識別計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。以下是一些常見的漏洞掃描技術(shù): 自動化漏洞掃描 : 網(wǎng)絡(luò)掃描 :使用自動化工具掃描網(wǎng)絡(luò)中的設(shè)備,以識別開放的端口
        的頭像 發(fā)表于 09-25 10:27 ?370次閱讀

        漏洞掃描的主要功能是什么

        漏洞掃描是一種網(wǎng)絡(luò)安全技術(shù),用于識別計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權(quán)訪問、數(shù)據(jù)泄露或其他形式的攻擊。漏洞掃描的主要功能是幫助組織及時(shí)發(fā)現(xiàn)并
        的頭像 發(fā)表于 09-25 10:25 ?411次閱讀

        內(nèi)核程序漏洞介紹

        電子發(fā)燒友網(wǎng)站提供《內(nèi)核程序漏洞介紹.pdf》資料免費(fèi)下載
        發(fā)表于 08-12 09:38 ?0次下載

        Adobe修復(fù)35項(xiàng)安全漏洞,主要涉及Acrobat和FrameMaker

        值得關(guān)注的是,Adobe對Acrobat及Acrobat Reader軟件的漏洞修復(fù)最為重視,共修復(fù)了12個(gè)漏洞,其中9個(gè)為“遠(yuǎn)程執(zhí)行代碼”嚴(yán)重漏洞,主要由RAM的“Use After Free”類型
        的頭像 發(fā)表于 05-16 15:12 ?737次閱讀

        微軟五月補(bǔ)丁修復(fù)61個(gè)安全漏洞,含3個(gè)零日漏洞

        值得注意的是,此次修復(fù)并不包含5月2日修復(fù)的2個(gè)微軟Edge漏洞以及5月10日修復(fù)的4個(gè)漏洞。此外,本月的“補(bǔ)丁星期二”活動還修復(fù)了3個(gè)零日漏洞,其中2個(gè)已被證實(shí)被黑客利用進(jìn)行攻擊,另一個(gè)則是公開披露的。
        的頭像 發(fā)表于 05-15 14:45 ?700次閱讀

        求助,TC375的時(shí)鐘合理性檢查用哪個(gè)外設(shè)才能實(shí)現(xiàn)?

        基本思路是通過外設(shè)產(chǎn)生定時(shí)中斷,來反推外設(shè)本身的時(shí)鐘頻率。但是QSPI和ADC這些外設(shè)目前不能使用,也不太好用,那么要用其余的哪個(gè)外設(shè)來實(shí)現(xiàn)這個(gè)Fppl1的合理性檢查呢?
        發(fā)表于 02-06 07:38

        一個(gè)集成的BurpSuite漏洞探測插件

        BurpSuite在日常滲透測試中占據(jù)重要地位,是一款廣受認(rèn)可的滲透測試工具。通過其強(qiáng)大的功能和用戶友好的界面,支持安全人員發(fā)現(xiàn)和修復(fù)Web應(yīng)用程序中的潛在漏洞。不僅適用于初級滲透測試
        的頭像 發(fā)表于 01-19 11:35 ?1308次閱讀
        一個(gè)集成的BurpSuite<b class='flag-5'>漏洞</b>探測插件

        蘋果承認(rèn)GPU存在安全漏洞

        蘋果公司近日確認(rèn),部分設(shè)備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagination制造的多種圖形處理器。根據(jù)報(bào)告,iPhone 12和M2 MacBook Air等設(shè)備也受到了這一
        的頭像 發(fā)表于 01-18 14:26 ?685次閱讀

        POC管理和漏洞掃描小工具

        本工具是采用javafx編寫,使用sqllite進(jìn)行poc儲存的poc管理和漏洞掃描集成化工具。主要功能是poc管理,并且采用多線程進(jìn)行漏洞掃描。
        的頭像 發(fā)表于 01-09 11:01 ?844次閱讀
        POC管理和<b class='flag-5'>漏洞</b>掃描小工具

        視覺檢測類項(xiàng)目經(jīng)歷哪些測試階段

        通過對軟件的輸入進(jìn)行控制,從而達(dá)到不同的測試結(jié)果,通過輸入輸出的差異比較測試是否正確和準(zhǔn)確,從而發(fā)現(xiàn)系統(tǒng)中的漏洞,展開研發(fā)修改與測試驗(yàn)證的循環(huán)過程。
        發(fā)表于 01-05 14:47 ?473次閱讀