pikachu-Over permission(越权漏洞)

概述

如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。 越权漏洞形成的原因是后台使用了 不合理的权限校验规则导致的。一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对 对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。 因此,在在权限管理中应该遵守:
1.使用最小权限原则对用户进行赋权;
2.使用合理(严格)的权限校验规则;
3.使用后台登录态作为条件进行权限判断,别动不动就瞎用前端传进来的条件;

平行越权:A用户和B用户属于同一级别用户,但各自不能操作对方个人信息,,A用户如果越权操作B用户的个人信息的情况称为平行越权操作。

垂直越权:A用户权限高于B用户,B用户越权操作A用户的权限的情况称为垂直越权。

越权漏洞属于逻辑漏洞,是由于权限校验的逻辑不够严谨导致的。

每个应用系统其用户对应的权限是根据其业务功能划分的,而每个企业的业务又都是不一样的。

因此越权漏洞很难通过扫描工具发现,往往需要通过手动进行测试。

平行越权

打开pikachu的平行越权,登入用户,点击查看个人信息,页面显示了个人信息

 

 当我们点击查看个人信息时,页面其实是发送了一个get请求将当前的用户名传到后台,后台再将个人信息传输到前端显示

 

 接着我们将url里的用户名修改成其他用户,就跳出来其他的用户个人信息,这是一个典型的越权漏洞

 

 

 

 我们查看后端代码,通过代码可以看到后台通过get请求获取到前端传过来的参数后并没有进行严谨的权限校验,使得用户可以越权获取别的用户的个人信息。

 

 垂直越权

打开pikachu中的垂直越权,登入超级管理员账号

 

 

然后我们随便添加一个用户,然后我们可以看到新用户成功被添加。

 

 然后我们用burp抓取一下,添加用户操作的数据包,发送repeater中去。

 

 接着我们将pikachu里的超级管理员退出登录,这个时候管理员是处于离线状态,管理员操作应该是不会被执行的,我们到burp中将我们抓取到的管理员添加用户的操作数据包重放一次,

点GO重放,再重定向

 

 

 

 重定向到了登入页面

 

 我们接着再在pikachu中登入超级管理员账号,可以发现用户列表没有变化,只是正常现象

 

 接着我们退出登入,再登入一个普通管理员用户

 

 然后我们刷新页面,用burp获取页面的登入态,复制当前用户的登入态的cookie

 

 接着我们在回到之前超级管理员添加用户操作的数据包,发送到repeaster,将登入态换成我们之前复制的普通管理员的cookie

 

 点击GO重放,然后回到pikachu页面点击刷新,可以看到新用户被成功添加,说明存在着一个垂直越权漏洞,也就是说我们可以通过普通用户去进行超级管理员的操作。

 

 

接着查看后台代码,首先查看登陆页面的源代码,它会去判断输入的账户是否为管理员,如果是则进入管理员页面,否则就进入普通用户页面

 

 

 添加用户的源代码中,登录态只是通过$_SESSION去取到账户和密码,只是去判断当前的用户有没有登陆,但没有去验证当前用户的权限

 

posted @ 2020-09-13 17:38  墨尐丶小傲  阅读(243)  评论(0编辑  收藏  举报