河南省高校联盟战队课件9(水平垂直越权(未授权访问))
详细视频:
水平垂直越权(未授权访问)
1、逻辑越权原理
水平越权:用户信息获取时未对用户与ID比较判断直接查询等
(同级用户之间的相互操作)你和你的同学都是学生且这个网站的职位相同
分析:
1.你可以修改你的账号密码(正常)
2.在不知道呢同学密码的情况下修改到你同学的账号密码(非正常)
垂直越权:数据库中用户类型编号接受篡改或高权限操作未验证等
(可以操作到你本不可以操作的功能)
(存在越权操作的情况下)比如管理员才可以删除文章你只是一个普通用户但你也可以操作
分析:
1.管理员可以操作(正常)
2.普通用户也操作管理员才可以操作的功能(非正常)
1、水平越权
lucy/123456,lili/123456,kobe/123456
题目给我们3个账号密码
(1)首先上来看到一个登录框
(2)我们登录kobe、123456
http://127.0.0.1/pikachu/vul/overpermission/op1/op1_mem.php?username=kobe&submit=点击查看个人信æ¯
(3)我们发现url上有username的字眼我们尝试修改username为其他账号名试试如何
结果就直接进来了没有输入账号密码
这个是查看信息还有其他的如更改密码是不是可以更改到别人的密码
垂直越权
- 有验证 逻辑顺序搞错了(例如:先进行我们的操作后)
- 没有验证 触发当前操作的用户权限(有没有包含检查性文件)
案例一、有验证 逻辑顺序搞错了
http://127.0.0.1/mc/mc-admin
登录到后台以后才可以对文章操作
(1)我们删除一个文章的url如下
http://127.0.0.1/mc/mc-admin/post.php?delete=ighks5&state=publish&date=&tag=
那我们在其他浏览器不登录的情况下访问这个url会出现那种情况?
(2)复制回收链接到另一个浏览器中
(3)刷新后发现Firefox的文章已被删除
(4)这里我们没有登录但却成功删除了(我们执行了管理员的功能(删除文章))垂直越权成功
原因:
- 从登录的角度来看就是第二种(他让我们重新登录但已经执行了我们的命令)
- 先执行命令后验证(逻辑错误)
- 先执行了我们的命令后进行验证的
案例二、没有验证 触发当前操作的用户权限(没有包含检查性文件)
对源码进行删减看效果:
- 我们把检查性的文件去掉(不包含这个文件)
检查性文件checklogin.php
-
我们再次登录
http://127.0.0.1/xhcms/admin/?r=index
- 点击登录会发现直接进入到后台
案例三、没有验证 触发当前操作的用户权限(没有包含检查性文件)
对源码进行删减看效果:
我们把检查性的文件去掉(不包含这个文件)
http://127.0.0.1/mc/mc-admin/post.php
同理如果删除前面的那个cms包含的检查文件也可以达到未授权访问
案例四、修改数据包中的值可能是他判断你是否为管理员的标准
-
我们修改mem_level的值
-
可以看到访客变为管理员
例如:
数据库的id值等
那我们在burpsuit抓包是看到uid=xx 是不是也可以修改达到越权?