原文链接:https://www.freebuf.com/vuls/413421.html
作者:Myling
在某个工作日的上午,被安排了一个渗透测试项目,测试过程中收获了一枚垂直越权漏洞。本文打码较为严重,望师傅们理解。当然该垂直越权漏洞已经被修复了,本文记录主要是希望起到抛砖引玉的作用,分享一次垂直越权漏洞的挖掘思路,愿大家能够从中有所收获。
话不多说,在某个平台先添加一个平台管理员测试账号test,admin是当前系统登录的账号,属于超级管理员。
登录新添加的test账号发现没有平台管理等功能,功能点较少,再使用admin账号抓取添加平台管理员test1请求包。
将cookie中AuthCookie的值替换为test账号的。
请求成功,test1账号创建成功,存在垂直越权漏洞。
可以通过url,查看admin账号的roleId和userType信息。
使用test账号甚至可以直接创建超级管理员账号test2。
过了半个月时间,开发说漏洞已经修复了,emmmmmmmmm再测试发现该系统仍然存在垂直越权漏洞。
使用超级管理员账号添加普通管理员并抓包,修改roleId为1和userType为admin,发现仍然可以添加超级管理员账号test3,且test账号可正常登录。
使用低权限测试账号登录系统,获取此时cookie的值。
新开一个浏览器,使用高权限账号登录系统并抓取添加平台管理员数据包。
将数据包中的cookie替换为低权限账号的cookie,然后发送,仍然显示添加成功。
可以看到平台管理员账号添加成功,添加的平台管理员账号能登录。
通过url可查看admin账号的roleId和userType的值。
越权访问这类漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户帐后后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。其与未授权访问有一定差别。垂直(纵向)越权指的是一个低级别攻击者尝试访问高级别用户的资源,如图所示。
原文始发于微信公众号(神农Sec):渗透测试 | 某系统垂直越权漏洞的挖掘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论