本文发布于469天前,本文最后更新于468 天前,其中的信息可能已经过时,如有错误请留言或评论。
知识点
- 逻辑越权-检测原理-水平&垂直&未授权
- 逻辑越权-检测项目-BURP插件&对比项目
- SRC挖掘-实战越权及未授权挖掘分享案例
演示案例
➢逻辑越权-检测原理-水平&垂直&未授权
- 水平越权:同级别的用户之间权限的跨越
- 垂直越权:低级别用户到高级别用户权限的跨越
- 未授权访问:通过无级别用户能访问到需验证应用
演示
PHPStudy + Metinfo4.0靶场(文末有下载地址) + 会员后台中心
- 创建两个用户,登录其中一个抓取修改信息的包,修改为另一个用户进行测试——水平越权
- 存在水平越权漏洞
- 继续测试,将useid修改为admin,进行测试——垂直越权
- 访问admin后台路径,尝试登录,输入密码123456(初始密码不是这个,是随机)
- 修改数据包,将useid修改为admin,密码修改为123456,发包后发现页面依旧返回操作成功
- 再次登录后台,使用密码123456,成功登录
- 存在垂直越权漏洞
- 继续测试,将数据包中的cookie信息删除,然后尝试修改数据包中用户信息发包测试,在数据库中查看是否修改成功——未授权访问
- 这里尝试依旧修改admin密码,发现修改成功
- 存在未授权访问漏洞
➢逻辑越权-检测项目-BURP插件&对比项目
真实情况下,批量跑才会用到,一般一对一测,目标很少的时候基本不用
- BP检测插件:
- xia_Yue的GitHub地址:https://github.com/smxiazi/xia_Yue
- 这个感觉,可能就比自己测试快一丢丢?
- 感觉也不怎么好用
- auth-analyzer-plus的GitHub地址:https://github.com/VVeakee/auth-analyzer-plus
- 这个也没演示
- xia_Yue的GitHub地址:https://github.com/smxiazi/xia_Yue
- 检测项目:
- GitHub地址:https://github.com/ztosec/secscan-authcheck
- 好像是有点bug,不过小迪修好了,直接用小迪发的就行,没有的直接看GitHub提交记录有填坑
- 管理员用户admin:admin123
- 使用需要配置bp插件或者浏览器插件,直接看GitHub配置就行
- GitHub地址:https://github.com/y1nglamore/IDOR_detect_tool
- 小迪没演示这个,不过说效果也一般
- GitHub地址:https://github.com/ztosec/secscan-authcheck
➢SRC越权未授权挖掘案例
小迪口头讲述图片
总结
- 有点开发者偷懒,不同用户页面差异只是区别于显示没显示出来
- 所以功能点可能依旧存在,只是没有显示,通过js获取的url进行访问,可能可以找到一些接口功能点可以使用
- 从而挖掘漏洞
- 抓数据包和用户身份相关的地方进行修改去测试
- 有的地方,分辨用户身份只使用一个可以遍历的数字或者加密后的东西来判断用户身份
- 通过修改身份识别的标志来尝试是否可以水平越权,获取其他用户数据
- 没有点测试的时候翻js文件,把js文件中找到了url都去访问,测试一遍,然后对数据包中带有身份的地方批量去跑
- 获取js接口可参考信息打点:
- 小迪说如果有token
- 直接将token删掉
- 不管token
如果token验证是安全的,测不了,数据包就有唯一性了
- 实战测试(越权):
- 找到当前用户相关的参数名,添加返回包里面的参数名参数值去提交,
- 参数值请求数据加密:JS中找逆向算法,还原算法重新修改发包测试
- 请求包带token:直接复用和删除测试。
参考
学习内容均来自小迪安全系列课程:
Metinfo4.0靶场网盘链接:https://pan.baidu.com/s/1VKqrWq3lmV-ExrMOhBJuVg?pwd=1iji
