web渗透里常见的逻辑漏洞

漏洞原理
网站开发人员在建设网站的时候，由于验证不严格，造成的bug
漏洞危害
任意用户重置密码
提权/越权
任意金额购买
验证码绕过
…
漏洞利用
一.修改任意用户密码
环境：
自行搭建的登陆平台
条件：
修改密码时会发送修改的url到指定邮箱，并且此url长期有效(url包括用户名和令牌)
漏洞复现
1.正常注册一个用户，获取忘记密码时找回密码的url


2.修改url里的用户名为其他用户，并破解后面的令牌(如此处实验环境里的令牌为用户名加md5加密后的用户名再base64编码)
例：修改用户zs的密码
zs原密码：

修改zs密码：
输入：
http://127.0.0.1/loudongxuexi/ljldmimachongzhi/user/zhaohuimima.php?act=chongzhi&username=zs&r=enNmNjcwNmQ1ZGIzYWQwOTRjZmFiZDhmYjUzMjZmMWVlYw==
效果：之后更改密码为111

修改后张三的密码：

总结：
由于漏洞利用了令牌长期有效，所以zs用户必须自己修改过密码，才会有令牌产生，我们才能利用令牌长期有效来进行修改zs的密码
二.提权、越权
形式
水平越权(越权)：横向，普通用户–普通用户，比如zs可以取得ls所有权限以及信息
垂直越权(提权)：纵向，比如普通用户–管理员–系统管理员
垂直越权(提权)
网站用户分类(举例)
系统管理员：可添加管理员、删除普通用户
管理员：审核网站内容，审核普通用户
普通用户：查看、评论、发表内容
原理
例如网站添加、删除用户有以下条件：
1、从页面进行，普通用户、管理员页面没有这个链接，系统管理员页面有
2、验证是否是系统管理员
如果只进行了第一步，而没有进行第二步的验证，或第二步验证不完善(如只验证普通用户，不验证管理员)就会造成漏洞
利用
拿到上一级用户特有的链接进行访问，若有漏洞存在就可执行改页面所代表的权限
实例
A.登陆系统管理员，界面如下

B.点击添加用户，复制url
http://localhost/pikachu-master/vul/overpermission/op2/op2_admin_edit.php
C.切换成普通管理员

D.直接访问上面的网站，发现可以添加用户

水平越权(越权)
实例
A.查看用户订单信息
登录->常看个人订单信息，每个订单都有一个对应的id，将自己订单的id改为其它订单的id，如果存在漏洞，就可查看他人订单信息
B.查看用户个人信息
同上，将自己的name换成别人的name
例：登陆lucy，在lucy的页面将姓名改为lili

C.任意账号登录
正常登陆流程：输入账号密码–服务器验证–返回session信息(失败:{“status:0”,message"shibai"}、成功:{“status:1”,message"shibai"})
漏洞利用：找一个注册过的账号，随意输入密码，抓取页面响应包，修改返回数据为正常登陆数据
三.任意金额购买
A.购买商品流程
选择商品->发起订单请求->服务器确认订单 ->生成支付接口(1000元)->发送给前端-> 用户支付->银行返回支付成功->订单完成
B.漏洞原理
1.购买任意金额商品
将支付1000元时的请求抓包，将1000修改为0.1，之后支付，支付成功后返回数据包，就达到0.1元购买1000元的商品
2.购买任意数量商品
将支付的请求抓包，金额改为-1，数量改为1，可拿到1亏钱，并得到一本书
四.验证码绕过
A.验证码以文本的形式返回到页面
可以通过js或者其他能够解析html的语言将验证码提取出来
B.验证码以图片的形式返回到前端，图片太过简单
通过bp插件captcha识别验证码
C.yz.php用来生成验证码
先发送请求：img src=yz.php，获取验证码，如果后台逻辑中验证码被输入一次后没有清空(永久有效)，就可通过一个验证码进行多次登陆
五.。。。。。
后续会继续更新