web安全逻辑越权水平垂直&Burp插件项目

Posted 2021-08-31 遗憾zzz

一、认识越权逻辑漏洞

1.越权漏洞的原理
攻击者在获得低权限用户帐后，尝试改变一些可控变量的参数，达到可以拥有同级别或高级别的权限，本质上就是拥有了同类权限或超出应该拥有的权限范围之外。

2.越权漏洞分类
（1）水平越权
横向拥有了同等安全等级、密级等衡量标准账户的权限。
（2）垂直越权
纵向拥有了更高安全等级、密级等衡量标准账户的权限。
（3）交叉越权
既可以水平，又可以垂直

3.一般越权发生的位置
（1）修改、重置、找回其他账户密码。
（2）查看、修改其他账户未公开的信息。
（3）其他应与账户关联的权限操作。

二、水平越权-墨者环境身份认证失效漏洞

环境开启后来到如下界面

这里给出了系统测试账户(test/test)，我们可以登陆进去

登陆后我们可以看到，会员号:20128880322，于是猜想可能在会员号处产生水平越权漏洞

这里的要求是找到马春生同学，我们在图片处发现，图片名和会员号有关

那么马春生会员号为：20128880316，最后通过网络抓包发现json.php这处接口改成马春生会员号


就发现了账号和密码，对密码进行MD5解码、密码：9732343，登陆拿到了KEY值

三、垂直越权-Pikachu&Minicms&掌控cms操作

1.Pikachu
来到靶场越权漏洞界面

首先是管理员登陆界面，可以进行查看、添加、删除等操作

然后就是普通用户界面，普通用户只能查看

这里有个操作就是登陆admin账号添加用户，进行抓包然后退出，此时再登陆普通用户抓包，把普通用户的session于此前的admin-session替换会发现添加成功，这样就导致了普通用户拥有管理员用户的操作，造成垂直越权漏洞

这里已经抓到管理员添加用户的操作，此时退出admin账号，登陆普通用户

把普通用户的PHPSESSID替换到我们刚刚抓到的管理员添加用户的PHPSESSID

会发现普通用户能够执行添加用户的操作，那么这越权漏洞一般是通过白盒审计源代码得出

op2_admin_edit.php 只判断了是否登陆 没有验证级别 所以存在越权

2.Minicms
首先正常admin，123456登陆进去


在管理文章草稿箱处，复制这个回收URL:http://127.0.0.1/minicms/mc-admin/post.php?delete=zutu5f&state=draft&date=&tag=

然后退出在登陆界面访问这个删除的URL，发现文章被删除


这里就造成了无登陆越权执行管理员删除这个操作

3.掌控cms
地址：http://59.63.200.79:8002/d/index.asp

先注册一个号

完事之后登陆点击首页抓包，shenfen=2改成shenfen=1


改完之后发现还是不行，发现原来还要修改admin=0改成admin=1

payload如下

realname=ddd&dlcs=1&username=ddd&wxqy=&bumen=ddd&loginname=ddd&danwei=ddd&shenfen=1&UserID=14&admin=1&wxlb=&phone=ddd&CookieDate=

参考：https://www.jianshu.com/p/29ee4a0dac60

四、插件检测-Burpsuite&Authz使用说明

插件地址：https://github.com/portswigger/authz
快速安装->在BurpSuite的BApp Store应用市场可以直接下载安装：

使用Authz插件检测
这里我们还是用Pikachu的靶场，用不同账号进行登陆
A账户：lucy/123456
B账户：kobe/123456

先登陆A账户，查看个人信息抓包发送给Authz

然后再登陆B账户把cookie填入到New Header


点击Run Selected Request，显示绿色表示存在越权

具体参考：http://www.secwk.com/2019/06/27/6178/

五、自动项目-中通安全Secscan-authcheck

项目地址：https://github.com/ztosec/secscan-authcheck
参考：https://mp.weixin.qq.com/s/vwF7aTvk-U-SnJqO3f80gA