水平越权1
可以看到是ids这个参数控制的
回到首页,点个查询抓个包
很明显这个ri_ir参数的值就是我们需要的ids
直接复制过来发送,回显true
水平越权2
点击新增功能点
data参数包含学号
直接遍历即可,逻辑很简单,只是功能点不容易被发现
垂直越权1
接口未做鉴权,只判断了用户是否登录,并没有校验用户是否有相应的权限
这里可以看到无任何数据,用bp开启拦截,F5刷新页面
可以看到这是原有的数据包
这里把后面参数全删掉,放包
回到浏览器发现返回了全部数据
这里全局搜索下查询的接口,很明显可以看到接口的作用是用来编辑的
然后通过查询的接口可以看到字段相关信息
直接替换接口,复制上面的字段构造数据包,字段值随便修改,回显操作成功
然后通过越权查询可以看到数据已经被修改了
垂直越权2
本来无任何功能点,注册之后需要审核,但是前端泄露了很多接口
按照上一个案例的方法可以越权增加删除等操作
利用模糊查询越权
查询的功能点,这里没有任何数据
参数值为学号
这里后端大概率使用了模糊查询,直接修改为%放包,%代表匹配所有
返回了大量敏感信息
绕过前端限制
包挨骂的水洞专用漏洞:如下图,只能选择这些里面的系统
这里点击保存,把能改的全改成111,假如没有申请人工号这个参数,也可以想办法找到之后手动添加,看看会不会被修改
可以看到系统已经选择了111,上面不能修改的申请人也变成了111
我这里只是保存草稿讲一下思路,实际还需要提交看看是否提交成功,大概率是能成功的
原文始发于微信公众号(起凡安全):几个常见的越权漏洞挖掘案例
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论