Webug4.0靶场通关笔记13- 第22关越权修改密码

最新推荐文章于 2025-05-07 20:09:50 发布
最新推荐文章于 2025-05-07 20:09:50 发布
阅读量1.2k 收藏 27
点赞数 17
文章标签: php web安全 webug靶场 越权漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/128135446
版权

目录

第22关 越权修改密码

1.打开靶场

2.源码分析

3.越权修改密码

(1)获取渗透账号

(2)越权修改aaaaa账号的密码

(3)修改aaaaa用户密码渗透成功

(4)水平越权修改mooyuan账号的密码 

(5)水平修改mooyuan用户密码渗透成功

(6)垂直越权修改admin账号的密码 

(7)垂直修改admin用户密码渗透成功 

本文通过《webug4.0靶场通关笔记13- 第22关越权修改密码》来进行逻辑漏洞中的越权漏洞渗透实战。

第22关 越权修改密码

越权漏洞是指系统未能对用户访问权限进行充分验证,导致用户可以访问或操作超出其权限范围的资源。根据操作类型可分为水平越权和垂直越权,具体如下表所示。

类型描述典型案例
水平越权访问同权限级别其他用户的资源查看他人订单/个人信息
垂直越权执行更高权限级别的操作普通用户执行管理员功能

1.打开靶场

http://192.168.71.1/webug4/control/auth_cross/cross_auth_passwd.php

 使用用户名admin和密码admin登录进入到如下界面

进入到如下修改密码的页面

http://192.168.71.1/webug4/control/auth_cross/cross_auth_passwd2.php?id=1

2.源码分析

如下修改用户名密码时只判断是否是登录状态,而没有判断是否是该用户,更没有判断旧密码是否一样,除了判断参数为空外,也没有什么有意义的判断,故而存在越权修改密码的漏洞

<?php


require_once "../../common/common.php";
if (!isset($_SESSION['user'])) {
    header("Location:../login.php");
}

if (isset($_POST['oldPassword']) && isset($_POST['newPassword']) && isset($_GET['id'])) {
    if (!empty($_POST['oldPassword']) && !empty($_POST['newPassword']) && !empty($_GET['id'])) {
        $oldPassword = $_POST['oldPassword'];
        $newPassword = $_POST['newPassword'];
        $id = $_GET['id'];

        $sql = "UPDATE user_test SET password = '{$newPassword}' WHERE id = {$id}";
        $row = $dbConnect->query($sql);
        if ($row) {
            echo "<script>alert('ok')</script>";
        }

    }
}


require_once TPMELATE."/cross_auth_passwd_2.html";

3.越权修改密码

(1)获取渗透账号

在进行SQL漏洞渗透的过程中,了解到user_test有两个账号,分别是admin以及aaaaa

从上图可知两个账号分别为普通账户和管理员账户,为了测试水平越权功能,直接操作数据库表,增加一个新用户,用户名为mooyuan,密码为mooyuan,这个用户的id为3,如下所示。

接下来验证是否可以成功登录,输入用户名mooyuan和密码mooyuan,如下所示点击Go

点击Go后登录成功,同样进入了登陆的修改密码界面,这时注意URL中尾部字段为id=3,正好是我们新增的这个mooyuan用户名的id号。 

(2)越权修改aaaaa账号的密码

admin账号的修改密码URL如下所示,其id=1

http://192.168.71.1/webug4/control/auth_cross/cross_auth_passwd2.php?id=1

将id=1改为id=2,如下所示

http://192.168.71.1/webug4/control/auth_cross/cross_auth_passwd2.php?id=2

 随便输入旧密码67890新密码12345,然后点击提交

提示修改成功

(3)修改aaaaa用户密码渗透成功

尝试使用aaaaa和新改的密码12345登录

 登录成功,可以渗透成功。查看数据库也可以看到密码修改成功,如下所示

(4)水平越权修改mooyuan账号的密码 

接下来在aaaaa用户登陆的基础上,修改mooyuan账号,登陆后URL如下所示。

http://127.0.0.1/webug4/control/auth_cross/cross_auth_passwd2.php?id=2

登陆后进入的页面如下所示。

将URL尾部的id=2修改为id=3,然后刷新,如下所示

http://127.0.0.1/webug4/control/auth_cross/cross_auth_passwd2.php?id=3

此时旧密码随便写55555,新密码设置为54321,然后点击提交

提示密码修改成功,这代表系统提示id=3的用户密码修改成功

(5)水平修改mooyuan用户密码渗透成功

使用用户名mooyuan和上一步修改的密码54321尝试登录,如下所示。

http://127.0.0.1/webug4/control/auth_cross/cross_auth_passwd.php

点击Go后提示登陆成功,进入了修改密码页面,说明密码修改成功。

此时我们查询数据库的表,确认mooyuan账号的密码已经改为了54321,说明水平越权成功,aaaaa用户可以修改mooyuan账号的密码。

(6)垂直越权修改admin账号的密码 

接下来我们验证是否可以在mooyuan账号登陆的情况下修改admin账号的密码

 将URL尾部的id=3修改为id=1,然后刷新,如下所示

http://127.0.0.1/webug4/control/auth_cross/cross_auth_passwd2.php?id=1

此时旧密码随便写33333,新密码设置为admin123,然后点击提交。

提示密码修改成功,这代表系统提示id=1的用户密码修改成功

(7)垂直修改admin用户密码渗透成功 

 使用用户名admin和上一步修改的密码admin123尝试登录,如下所示。

http://127.0.0.1/webug4/control/auth_cross/cross_auth_passwd.php

点击Go后提示登陆成功,进入了修改密码页面,说明密码修改成功。

 此时我们查询数据库的表,确认admin账号的密码已经改为了admin123,说明垂直越权成功,mooyuan用户可以修改admin账号的密码。

Webug4.0靶场通关笔记(第八天)--------22-26
Yasso的博客
02-26 643
一、越权修改密码 二、支付漏洞 三、邮箱轰炸 四、越权查看admin 五、URL跳转 一、越权修改密码 二、支付漏洞 三、邮箱轰炸 四、越权查看admin 五、URL跳转
Webug4.0靶场通关笔记(第九天)--------完结篇
Yasso的博客
02-27 1232
一、文件包含漏洞 二、命令执行 三、webshell爆破 四、ssrf 明天就开学了~~唉,剩下的就都打完算了!!! 一、文件包含漏洞 文件包含漏洞在ctf上种类有很多,我接触过的有php伪协议、日志包含、目录遍历、session文件包含等等。全阐述的话我是讲不完(主要还是菜),就拿这webug4.0靶场当例子吧. 打开靶场注意url栏(文件包含直接读取的是文件,而不是文件源码,所以要想办法读取源码(index.php),这里用的是base64读取) ?filename=php://fi
Webug4.0靶场通关笔记20- 第25越权查看admin
最新发布
mooyuan的网络安全博客
05-07 775
本文通过《webug4靶场第25 越权查看admin》来进行越权攻击渗透实战。本卡虽然题目是越权查看admin也就是垂直越权,实际上也存在水平越权
webug4.0靶场通关笔记
qq_47289634的博客
07-13 2196
这里我试了空格或者“.”绕过,::$DATA绕过,双后缀名绕过,%00截断但是都不可以,这里可以使用生僻字进行绕过,比如这个 龘(dá),在repeater里面将文件名改为 shell.php.jpg,发现上传成功,这是因为他无法对这个字进行编码,所以后面的信息全部被过滤掉了。所谓越权就是用普通用户拥有管理员用户的权限,比如user的id=1,管理员的id=0,通过抓包修改这个参数,就可以达到越权的目的。打开靶场地址,把id参数改为-1,发现跟1比起来,内容缩短了一些,回显不一样。
Webug4.0通关笔记01-01 显错注入
mooyuan的网络安全博客
04-22 1026
SQL注入主要分析几个内容(1)闭合方式是什么?webug靶场的第01卡为字符型,闭合方式为单引号(2)注入类别是什么?这部分是普通的字符型GET注入,使用union法即可注入成功(3)是否过滤了键字?很明显通过源码,iwebsec的第01卡过滤没有进行任何过滤了解了如上信息就可以针对性使用union查询法进行SQL绕过渗透,使用sqlmap工具渗透更是事半功倍,以上就是今天要讲的webug靶场01注入内容,初学者建议按部就班先使用手动注入练习,再进行sqlmap渗透。t=P1C7。
Webug4.0通关笔记02- 第2布尔注入与第3延时注入
mooyuan的网络安全博客
04-28 723
卡有点名不副实,不是布尔类型。接下来SQL注入主要分析几个内容(1)闭合方式是什么?webug靶场的第02卡为字符型,闭合方式为单引号(2)注入类别是什么?这部分是普通的字符型GET注入另外仍有时间型盲注,使用union法即可注入成功(3)是否过滤了键字?很明显通过源码,iwebsec的第02和第03卡没有进行任何过滤。
webug4.0通关笔记
alert['Hello World']
11-03 7204
目录显错注入布尔注入延时注入post注入过滤注入宽字节注入xxe注入csv注入反射型xss存储型xss万能密码登陆任意文件下载DOM型xss过滤xss链接注入任意文件下载mysql配置文件下载文件上传(前端拦截)文件上传(解析漏洞)文件上传(畸形文件)文件上传(截断上传)文件上传(htaccess)越权修改密码支付漏洞邮箱轰炸越权查看adminURL跳转文件包含漏洞命令执行webshell爆破ssrf 环境下载地址: 显错注入 注入点: control/sqlinject/manifest_error.
Pikachu靶场通关笔记--Over permission(越权漏洞)
weixin_45908624的博客
12-14 433
越权漏洞
Webug3.0通关笔记07 第七:越权
mooyuan的网络安全博客
04-23 581
越权漏洞是指攻击者在未经授权的情况下,访问或操作了其他用户的资源,或者执行了超出其自身权限范围的操作。这种漏洞通常是由于应用程序在进行权限验证时存在缺陷,未能正确地对用户的身份和权限进行检查,导致攻击者可以绕过或篡改权限验证机制,从而获取到额外的访问权限。如下所示仅对name参数进行SQL相的过滤检查,在修改密码时却没有确认用户是否为登录的user,故而存在越权漏洞修改密码的源码如下所示,也没对旧密码进行确认,存在密码修改漏洞越权分为水平越权和垂直越权,具体如下所示。点击更改密码,如下所示修改成功。
Pikachu靶场通关笔记--Cross-site request forgery (CSRF)
weixin_45908624的博客
12-08 320
CSRF
渗透学习 webug4.0靶场
07-12
渗透学习 webug4.0靶场 渗透学习 webug4.0靶场 渗透学习 webug4.0靶场
Webug4.0靶场通关笔记(第二天)--------延时注入和post注入
Yasso的博客
02-20 891
一、延时注入 延时注入是基于布尔注入的, 简单来说, 是通过if语句返回的真(true)或假(false)来确定是否执行网页延迟响应,当布尔注入不成功时,即不能直接观察页面的返回正常与否来判断sql语句是否执行成功, 我们这时候就可以采用延迟注入。 1.先判断字段数 2.判断数据库(webug) ?id=1’ and if(substr(database(),1,1)=‘w’,1,sleep(5))%23 (判断数据库第一个字母是否为w,是的话页面正常,否则沉睡5秒) ?
Webug4.0靶场通关笔记(第四天)--------xxe注入和csv注入
Yasso的博客
02-22 949
一、xxe注入 这道题应该是最简单的任意文件读取 打开是一个输入框 在C盘构造一个flag,别问我为啥,我也不知道。。。 bp抓个包 随便输入个什么都有回显,应该是基础的XXE注入 这是一段读取文件的xml<?xml version="1.0"?> <!DOCTYPE ANY [ <!ENTITY B SYSTEM "file:///c:/1.txt"> ]> <xml> <xxe>&B;</xxe&g...
Webug4.0靶场通关笔记17- 第21文件上传(htaccess)
mooyuan的网络安全博客
05-06 635
本文通过《webug4.0靶场第21文件上传之htaccess》对客户端前端和服务端的代码进行审计,基于代码审计来分析渗透思路并进行渗透实战。
网络安全的原理和基本知识点
mrzyun0811的博客
05-05 387
Python在网络安全防护中具有广泛的应用,通过利用丰富的库和模块,可以实现网络扫描、漏洞检测、渗透测试、恶意软件分析、防火墙规则管理、Web安全防护、安全日志分析和加密通信等功能,帮助提升网络系统的安全性和抵御潜在威胁的能力。网络安全:保护网络系统和数据免受攻击、损坏或未经授权的访问,确保其机密性、完整性和可用性。使用Python解析和分析系统日志、网络流量日志,检测异常活动,及时发现潜在的安全威胁。使用nmap库进行端口扫描和主机发现,识别网络中的开放端口和服务,发现潜在漏洞
【渗透测试】任意文件上传下载漏洞原理、复现方式、防范措施
凪的博客
05-03 715
任意文件上传/下载漏洞的核心在于信任用户输入与缺乏纵深防御。通过白名单校验、内容检测、权限隔离等技术手段,结合持续的安全测试与团队培训,可有效降低风险。攻防对抗中需注新兴绕过技术(如AI生成恶意文件),动态调整防御策略。
渗透测试中扫描成熟CMS目录的意义与技术实践
w2361734601的博客
05-04 991
即使CMS核心代码坚如磐石,​​人为疏忽​​、​​第三方依赖​​和​​服务器配置​​仍会形成“木桶效应”。目录扫描的价值不仅在于发现漏洞,更在于系统性解构安全边界。在攻防对抗中,细节决定成败,而扫描器正是打开细节盲区的钥匙。
TCP 协议设计入门:自定义消息格式与粘包解决方案
moton2017的博客
05-06 734
TCP 是流式传输(无消息边界概念),必须设计一套【消息结构】,让接收端能准确拆分出完整的消息。
文件上传/读取/包含漏洞技术说明
2402_86373248的博客
05-06 305
免责声明:本文所述技术仅供教育研究及安全防御参考,严禁用于任何非法用途。未经授权的网络攻击行为违反法律法规,后果自负。
webug4.0靶场通关越权修改密码
03-20
### Web 安全靶场 Webug 4.0越权修改密码的解决方案 在 Web 应用程序的安全测试中,“越权访问”是一种常见的漏洞,指的是未经授权的用户能够执行超出其权限范围的操作。对于 Webug 4.0 靶场中的越权修改密码场景,以下是详细的分析与解决方法。 #### 背景描述 在 Webug 4.0 的设计中,存在一种典型的越权行为模式:攻击者可以通过篡改 HTTP 请求参数(如 `id` 字段),从而冒充其他用户的身份并修改目标用户的密码[^4]。这种漏洞通常源于应用程序未对操作对象的有效性和当前登录用户的权限进行严格验证。 --- #### 技术原理剖析 越权漏洞的核心原因在于服务器端缺乏有效的身份校验机制。具体表现为以下几点: 1. **请求参数未经验证** 当前用户发送的请求可能携带了非法的目标用户 ID 参数(例如 `id=0` 表示管理员)。如果服务端仅依赖前端传递的数据而未进一步确认该数据的真实性,则可能导致越权。 2. **缺少细粒度授权控制** 如果应用未能区分不同角色之间的权限边界,就容易让低权限用户获得高权限功能的使用权。 3. **会话管理不当** 即使实现了基于会话的身份认证,但如果会话状态没有绑定到具体的资源访问上下文中,也可能引发类似的越权问题。 --- #### 解决方案实现 针对上述问题,可以从以下几个方面入手来修复此漏洞: ##### 1. 强化后端逻辑校验 每次接收到涉及敏感操作(如更改密码)的请求时,应强制核对该操作是否由合法主体发起。这可通过比较当前已登录账户的信息与待处理记录所属实体的一致性完成。例如,在 PHP 或 Python 后端代码中加入如下片段以确保只有本人能重置自己的密码: ```php <?php // 假设 $_SESSION['user_id'] 存储着当前登录者的唯一标识符 if ($_POST['target_user_id'] != $_SESSION['user_id']) { die('Access Denied'); // 若两者不符则拒绝继续运行后续脚本 } ?> ``` 或者采用更现代化的语言框架编写类似防护措施: ```python from flask import session, request, abort def change_password(): target_user_id = int(request.form.get('target_user_id')) current_user_id = session.get('user_id') if target_user_id != current_user_id: abort(403) # 返回HTTP Forbidden响应码表示无权访问 # 正常业务流程... ``` 以上两段伪代码均体现了只允许用户对自己账号实施特定变更的原则。 ##### 2. 实施严格的 RBAC (Role-Based Access Control) 引入基于角色的访问控制系统有助于细化各类人员所能触及的功能模块及其内部细节。通过预先定义好的策略组合判定谁可以在何时何地做什么事情,进而减少因疏忽造成的安全隐患。 例如,在 MySQL 数据库表结构层面增加字段用于标记每条记录联的角色类别,并据此调整查询语句条件部分的内容以便筛选出符合条件的结果集之前先过滤掉不符合要求的部分。 ##### 3. 利用 CSRF Token 提升安全性 为了防止恶意站点诱导受害者提交伪造跨站请求(CSRF),建议结合随机生成且难以预测的一次性令牌(Token)一同嵌入至 HTML 表单之中并与对应 Session 绑定起来共同参与最终判断过程。这样即使黑客截获到了原始 POST 请求也无法轻易复制粘贴成功模拟真实交互动作。 --- #### 总结说明 综上所述,要彻底杜绝此类越权现象的发生除了加强开发阶段的设计考量之外还需要持续注最新威胁情报动态及时修补发现的新缺陷。同时也要提醒广大开发者时刻牢记安全第一的理念贯穿整个软件开发生命周期始终。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值