免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
清华大学越权漏洞
通过越权漏洞修改他人信息
首先我们需要注册两个用户
用户1:Pwn777
用户2:Own777
之后我们登录用户1
这里要求上传头像,我们点击叉叉即可
这里是我们的个人信息,编辑好后点击确认,Burp进行抓包
该越权漏洞出现在id中,只需要知道id的值即可越权修改他人信息,修改成功如图的响应包是200,并且是errCode:”200”
我们登录用户2,同理抓包记录这个id值
点击确认进行抓包
可以看到该用户2的id值
用户1的id值:id=a4ebed7d2abe4139b9b38f07aeb4e221
用户2的id值:id=306b773cc8944242ae0503aed01f8000
接下来我们在用户2中将Burp放到重发器修改该id值为用户1的id值
可以看到响应包也是正常响应200,之后我们退出用户2,登录用户1查看是否被用户2越权修改了信息
发现信息全部变成了用户2的信息,成功越权修改
上海交通大学越权漏洞
通过越权获得管理员才有的权限+越权修改他人信息
在该请求包中拦截响应包
改为true
点击切换的时候开启抓包
也是对userinfo这个请求包拦截响应包
改true
并且也有了创建的权限
上交大某地方历史数据库越权+1
在注册处注册两个账号
然后登录账号1
在我的个人中心编辑生日,性别,省份等信息后,点击保存按钮抓包
我们可以通过修改UserID处造成水平越权修改他人信息
1881924****的账号UserID为3204864
记录下来后,我们登录另一个账号1987683****
也是同样的,这里编辑好相应内容后点击保存按钮抓包
可以看到这个账号的UserID为3204865,并且响应包有我们账号2的手机号1987683****,说明我们在编辑这个账号
我们改成3204864
成功越权,返回包也为200状态码,并且内容从1987683****变为了1881924****
此时登录回账号1可以看到已经被账号2修改了
复旦大学水平越权漏洞
通过越权漏洞接管他人账户
分别注册两个用户,分别是quan和Pwn
注册后首先登录Pwn用户
点击数据库
我这里使用的是火狐的Cookie插件,造成越权的原因在于
username和userId,他们都是固定的值,该Cookie的用户凭证使用了固定的键和值作为验证,从而形成任意用户水平越权
我们再登录quan用户查看
记录这两个用户的username和userId
Cookie:
用户1:
username:quan
userId:3c0018e4-cb90-4cc4-bb89-162ce3c6ce13
用户2:
username:Pwn
userId:829d46e9-885a-4236-9194-f926e7caf853
我们在quan用户进行更换username和userId
改好后进行刷新
成功越权Pwn用户
也就是说,攻击者只需要知道username和userId即可任意越权用户
辽宁省交通高等专科学校越权漏洞
通过越权漏洞查看对方信息
首先在注册页面注册两个账号
这里分别注册了Pwn和Kwn
然后分别登录
正常情况下,只能看到自己的信息,包括手机号,姓名
通过在Burp的历史抓包处发现可以越权获取其他人的信息
只需要知道对方用户名即可
POST /dev-api/index/index/profile?userName=知道对方的用户名
POST数据为:
{"userName":"对方用户名"}
2024祝各位师傅们挖洞多多
相关阅读
扫码关注,发现更多惊喜
原文始发于微信公众号(PwnPigPig):教育edusrc-越权漏洞案例集合
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论