0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

测试水平越权漏洞的基本思路

马哥Linux运维 来源:马哥Linux运维 作者:马哥Linux运维 2022-07-22 11:01 次阅读

本文记录了一次水平越权的全过程,大致发生了如下:

修改post参数,导致越权查看和删除;

修改路径(REST风格参数),导致越权修改;

修改cookie字段,绕过登录实现未授权访问;

越权编辑植入xssPayload,获取完整cookie。好了,开始虚构。

0x01 越权查看和删除

注册登录进入个人中心,一通胡乱测试,发现可通过修改参数来越权查看或修改任意用户资料。这里就拿教育经历做演示吧。

1、先创建,再修改。

0a9a2fae-0511-11ed-ba43-dac502259ad0.jpg

2、抓包拦截重放,通过infoId去引用对象,返回用户信息,并进入编辑状态。

0aa617b0-0511-11ed-ba43-dac502259ad0.jpg

0abb5a6c-0511-11ed-ba43-dac502259ad0.jpg

3、请求包中通过infoId参数引用对象,sql注入无果,尝试修改infoId值,引用对象成功,返回其他用户信息。删除时修改post参数值同样可越权删除任意用户信息。

0ac8a4c4-0511-11ed-ba43-dac502259ad0.jpg

4、继续编辑自己的自我评价,点击保存。发现前面infoId的值跑到路径中去了,也尝试修改一下(注意这里涉及修改了,就不要随意修改了,可以尝试修改另外的测试账号的内容)。

0ad99892-0511-11ed-ba43-dac502259ad0.jpg

5、返回修改成功(去目标账号中刷新,发现资料确实被修改了)。

0ae95bc4-0511-11ed-ba43-dac502259ad0.jpg

6、为什么路径也能作为参数测试点呢,因为这里使用的是REST风格参数。

0af41f78-0511-11ed-ba43-dac502259ad0.jpg

0x02 绕过登录未授权访问

前面一顿操作,一直没能获取到手机号邮箱等敏感信息,结果发现这些基本信息的编辑使用的不是同一套流程,为了能扒出来,就有了下文。

1、下面是预览资料的请求,没看到get/post参数啊,自然不存在“不安全的直接对象引用”这类越权漏洞。

0b01cd26-0511-11ed-ba43-dac502259ad0.jpg

很明显是通过cookie鉴别的,又这么多字段,一般这种我都不考虑越权(头不够铁),不过乍一看cookie中字段值貌似都为base64编码。竟然都是base64编码的,这!

2、控制变量法,逐个字段删除,找出有效的字段(删除某个字段,页面无变化说明该字段是无效字段,相信大家都知道这个技巧)。

一番删除操作,只留下了 career_id 这个字段。重放返回该个人资料,修改删除该字段便异常,说明服务端仅校验该字段。

0b1ada64-0511-11ed-ba43-dac502259ad0.jpg

仅校验一个字段,看似使用是简单的base64编码,不错不错!

3、解码看看,5160397估计就是该用户id了。

0b266a96-0511-11ed-ba43-dac502259ad0.jpg

4、通过Burpsuite的Intruder模块遍历career_id字段,抓个别的id看看。

0b34bbe6-0511-11ed-ba43-dac502259ad0.jpg

0b416de6-0511-11ed-ba43-dac502259ad0.jpg

5、使用该id,成功越权访问到该用户的个人简历信息。

0b4ca71a-0511-11ed-ba43-dac502259ad0.jpg

6、接下来,复制该cookie替换掉自己浏览器中的cookie,成功绕过登录,未授权访问其他用户个人中心,且可进行资料编辑删除等操作。

0b582cca-0511-11ed-ba43-dac502259ad0.jpg

0x03 利用“self-xss“获取更多权限

正经的越权到上面差不多就结束了,下面就是利用的“歪门邪道”了。

1、进一步摸索发现,其实仅仅是个人中心的访问凭证是只校验 career_id 这一个字段,其他页面还校验了更多的cookie字段,只有校验通过才可访问更多页面查看岗位信息、投递简历等操作。

2、其实吧,编辑资料这里还存在个存储型XSS。简历编辑页的存储型xss,基本是个self-xss无疑了,一般谁能访问到我的简历编辑页。

3、竟然都能越权编辑他人简历了,那我们是不是可以在编辑别人的简历的时候向其中植入xssPayload,一套“越权 + self_xss”组合拳。

另外,不难从前面的请求包中看出,这些资料编辑操作,一定是存在CSRF漏洞的。那么,又一套“CSRF + self\_xss”组合拳。

当然,CSRF肯定不如我们越权编辑稳当。

接下来就等目标访问了。..。..

这里就简要分析下思路,就不做演示了。

0x04 总结

总结一下测试水平越权漏洞的基本思路:

控制变量法删除参数或cookie字段,找到有效参数或cookie字段;

尽可能的对参数或cookie字段去模糊化,再进一步测试;

修改参数值或cookie字段,对增删改查等操作进行越权测试;

越权结合其他漏洞提升危害等级。越权漏洞也可以结合Authz这类burp插件来测试,不过一般都局限于查看操作的越权。

审核编辑:彭静
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 编码
    +关注

    关注

    6

    文章

    942

    浏览量

    54827
  • Cookie
    +关注

    关注

    0

    文章

    30

    浏览量

    10409
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15374

原文标题:一次水平越权漏洞的利用

文章出处:【微信号:magedu-Linux,微信公众号:马哥Linux运维】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    FPGA打砖块小游戏设计思路

    HDL, Vivado 平台上开发打砖块小游戏并使用 PS2 与 VGA 的基本思路: 一、整体架构设计 1. 输入模块: • PS2 接口模块:负责与 PS2 设备(如游戏手柄)进行通信,接收手柄
    的头像 发表于 12-09 16:57 199次阅读

    常见的漏洞分享

    漏洞,利用swaks可以伪造邮件发到自己邮箱测试。163可行 #sourcemap文件泄露漏洞 油猴脚本:sourcemap-searcher、burp hae插件 在F12控制台输入sms(),下载
    的头像 发表于 11-21 15:39 119次阅读
    常见的<b class='flag-5'>漏洞</b>分享

    基于ADS131m04和STM32F103搭建了一个简单的采样电路,如何获得比较高的通道间采样一致性?

    。 我的电路基本就是参考设计的样子,只不过右边是STM的MCU MCU的时钟是8M,给AD输出的时钟也是8M,其他是参考TI实例代码修改的程序,基本思路是: 系统初始化——配置MCU——配置
    发表于 11-21 07:08

    监控平台设计思路

    电子发烧友网站提供《监控平台设计思路.pptx》资料免费下载
    发表于 10-09 11:18 0次下载

    怎么样提高verilog代码编写水平

    ,共同进步。 欢迎加入FPGA威廉希尔官方网站 微信交流群14群! 交流问题(一) Q:怎么样提高verilog代码编写水平?Cpu 从事DFT工作。目前仅限于写一些简单模块。自学的话如何提高verilog编写水平
    发表于 09-25 20:05

    漏洞扫描一般采用的威廉希尔官方网站 是什么

    漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序中的安全漏洞。以下是一些常见的漏洞扫描威廉希尔官方网站 : 自动化漏洞扫描 : 网络扫描 :使用自动化工具扫描网络中的设备,以识别开放的端口
    的头像 发表于 09-25 10:27 365次阅读

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全威廉希尔官方网站 ,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。漏洞扫描的主要功能是帮助组织及时发现并
    的头像 发表于 09-25 10:25 408次阅读

    内核程序漏洞介绍

    电子发烧友网站提供《内核程序漏洞介绍.pdf》资料免费下载
    发表于 08-12 09:38 0次下载

    Adobe修复35项安全漏洞,主要涉及Acrobat和FrameMaker

    值得关注的是,Adobe对Acrobat及Acrobat Reader软件的漏洞修复最为重视,共修复了12个漏洞,其中9个为“远程执行代码”严重漏洞,主要由RAM的“Use After Free”类型
    的头像 发表于 05-16 15:12 735次阅读

    微软五月补丁修复61个安全漏洞,含3个零日漏洞

    值得注意的是,此次修复并不包含5月2日修复的2个微软Edge漏洞以及5月10日修复的4个漏洞。此外,本月的“补丁星期二”活动还修复了3个零日漏洞,其中2个已被证实被黑客利用进行攻击,另一个则是公开披露的。
    的头像 发表于 05-15 14:45 698次阅读

    求助,TC375的时钟合理性检查用哪个外设才能实现?

    基本思路是通过外设产生定时中断,来反推外设本身的时钟频率。但是QSPI和ADC这些外设目前不能使用,也不太好用,那么要用其余的哪个外设来实现这个Fppl1的合理性检查呢?
    发表于 02-06 07:38

    一个集成的BurpSuite漏洞探测插件

    BurpSuite在日常渗透测试中占据重要地位,是一款广受认可的渗透测试工具。通过其强大的功能和用户友好的界面,支持安全人员发现和修复Web应用程序中的潜在漏洞。不仅适用于初级渗透测试
    的头像 发表于 01-19 11:35 1308次阅读
    一个集成的BurpSuite<b class='flag-5'>漏洞</b>探测插件

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,iPhone 12和M2 MacBook Air等设备也受到了这一
    的头像 发表于 01-18 14:26 684次阅读

    POC管理和漏洞扫描小工具

    本工具是采用javafx编写,使用sqllite进行poc储存的poc管理和漏洞扫描集成化工具。主要功能是poc管理,并且采用多线程进行漏洞扫描。
    的头像 发表于 01-09 11:01 843次阅读
    POC管理和<b class='flag-5'>漏洞</b>扫描小工具

    视觉检测类项目经历哪些测试阶段

    通过对软件的输入进行控制,从而达到不同的测试结果,通过输入输出的差异比较测试是否正确和准确,从而发现系统中的漏洞,展开研发修改与测试验证的循环过程。
    发表于 01-05 14:47 473次阅读