业务逻辑漏洞-越权

越权漏洞复现

一、前言

由于没有对用户权限进行严格的判断，导致低权限的账号（比如==普通用户==）可以去完成==高权限账号==（比如超管）范围内的操作，如果能够成功操作，则称之为越权操作。越权漏洞形成的原因是==后台使用了不合理的权限校验规则导致的==。

平行越权、垂直越权、交叉越权

水平越权：用户A和用户B属于同一级别用户，但各自不能操作对方个人信息。用户A如果越权操作用户B个人信息的情况称为水行越权操作。

垂直越权：用户A权限高于用户B，用户B越权操作用户A的权限的情况称为垂直越权。

交叉越权：既存在水平越权也存在垂直越权

[========]

二、环境搭建

本次为线上靶场环境

腾讯云服务器

OS 名称:          Microsoft Windows Server 2012 R2 Datacenter
域:               WORKGROUP
登录服务器:       \10.0.12.9
修补程序:         安装了 165 个修补程序。

搭建工具：phpstay_pro MetInfo 企业网站管理系统 V4.0  | CMS

三、影响范围

MetInfo 企业网站管理系统 V4.0

四、漏洞复现

权限均为普通会员

用户1：ms08067_01密码：ms08067_01 用户2：ms08067_02密码：ms08067_02

并寻找利用点，常见的利用点就是修改资料，正好该网站存在，马上利用

抓包将 useid 改为 ms08067_02；提示操作成功

验证平行越权，尝试登录ms08067_02的账号密码为ms08067_01，登录成功；即存在水平越权漏洞

将useid改为admin尝试一下，结果显示操作成功

尝试找到后台地址，url栏输入admin自动跳转http://114.132.155.97/admin/index.php?lang=cn 使用admin用户，密码为ms08067_01，登录成功；即存在垂直越权

查看可利用的上传点，上传木马获得webshell 在界面风格=>模板管理=>添加模板=>选择dama.zip点击添加；即可上传大马

返回包里，没看到有返回路径，还需要找一下，随便点点，点到了旁边的编辑模板，页面出来一个报错路径。

目录扫描时扫到了robots.txt文件，对比刚才报错的路径，猜测文件应该目录应该是在http://114.132.155.97/templates当中 最终试出http://114.132.155.97/templates/dama/dama.php

为什么多此一举上传小马呢？不习惯用大马，命令终端没有webshell连接工具（菜刀）用的舒服。使用菜刀连接该站点主机，看了一下内网，啥都没有，太干净了，看了看没有域林，有点可惜，那就止步于此了？

既然都到这一步了，来服务器留下足迹吧，查看开放端口发现开放了3389，看了一下进程没有杀毒软件，wow这不就是等我连接了吗，那就来吧，创建隐藏用户，添加到管理员组，话不多说，直接连接。看最终留下了啥吧

五、缓解措施

权限管理需遵守：

使用最小权限原则对用户进行赋权;
使用合理（严格）的权限校验规则;
使用后台登录态作为条件进行权限判断；

六、总结：

1、测试平行越权：在会员中心 => 修改基本信息 =>  ms08067_01 => 抓包 => 改useid= ms08067_02 =>成功修改ms08067_02密码

2、测试垂直越权 在会员中心 => 修改基本信息 =>  ms08067_01 => 抓包 => 改useid= admin=>成功修改了admin的密码并成功登录后台

3、获得webshell 在后台 => 界面风格 => 模板管理 => 添加模板 => 添加dama.zip => 找大马路径 => 传小马

4、连接主机，获得主机权限 菜刀通过小马连接 => 命令终端查询开放端口、查看进程 => 创建管理员用户 => 完成连接

越权：通过抓包，对网站可能出现越权的利用点，进行改包，修改关键传参如username、id 等等 （改传参，多试几个，说不准就中了！！！）

七、参考

wiki(越权)：http://119.91.254.227/doc/2197/

想和这位学员一样学有所得吗？

Web渗透工程师零基础就业班

等你加入

详情看这里👇👇👇

—  实验室旗下直播培训课程  —