8-2 平行越权、垂直越权 | 8-3 s-s-rF-服务器端请求伪造
一、什么是越权?
越权漏洞的概念
越权漏洞是一种很常见的逻辑安全漏洞。是由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能,从而导致越权漏洞。
目前存在着两种越权操作类型:横向越权操作(水平越权)和纵向越权(垂直越权)操作。
越权一般分为水平越权和垂直越权。
水平越权是指相同权限下不同的用户可以互相访问
垂直越权是指使用权限低的用户可以访问到权限较高的用户
水平越权测试方法主要就是看看能否通过A用户操作影响到B用户
垂直越权的测试思路就是低权限用户越权使用高权限用户的功能,比如普通用户可使用管理员功能。
二、越权测试过程
把握住传参就能把握住逻辑漏洞的命脉
越权测试
登录A用户是,正常更改或者是查看A用户信息,然后抓取数据包,将传参ID修改为其他用户,如果成功查看或者修改了同权限其他用户的信息就属于水平越权测试。(如果可以影响到高权限用户就是垂直越权)
传参ID参数需要自己检测(常见:uid= id= user= 等)通常使用burp进行爆破传参(传参可能在GET POST COOKIE)
常见平行越权(不需要输入原密码的修改密码,抓包改用户名或者用户id修改他人密码
修改资料的时候修改用户id
查看订单的时候,遍历订单id
等)
三、常见越权漏洞
1.通过修改GET传参来越权(http://www.anquan.us/static/bugs/wooyun-2016-0205340.html)
2.修改POST传参进行越权(http://www.anquan.us/static/bugs/wooyun-2016-0207583.html)
3.修改cookie传参进行越权(http://www.anquan.us/static/bugs/wooyun-2016-0184633.html)
抓取传参可以在浏览器、APP、应用程序(exe)
还有一类叫做未授权访问,严格意义上而言这个不属于越权漏洞,但是在日常测试中常常会遇见
(只要输入正确的网址就可以直接访问,例如/admin默认是登录,登录后跳转到user.php,然后你直接访问user.php,发现你直接有后台权限)
http://www.anquan.us/static/bugs/wooyun-2016-0189174.html
Web攻防之业务安全实战指南 (陈晓光 胡兵 张作峰 等 著) 建议下载PDF观看
四、靶场实战
注册登录,修改Cookie,将admin改成1,shenfen改成1
8-3 s-s-rF-服务器端请求伪造
一、什么是s-s-rF?
控制目标站点去访问其他网站
可以访问内网和本机
为什么访问到本机和内网才有严重危害:
1.安全界有个通病,外紧内松,内网全部是洞,安全性不需要那么强
2.本机比内网更脆弱,很多站点和防护软件,对127.0.0.1的本地访问并不会拦截当你有网站管理员权限的时候,某些站点的自带防护也会不拦截
3.找到一些正在开发的网站
能用s-s-rF做什么?
-
扫描内部网络(FingerPrint)
-
向内部任意主机的任意端口发送精心构造的数据包{Payload}
-
DOS(请求大文件,始终保持连接Keep-Alive Always)
-
暴力穷举(users/dirs/files)
怎么寻找s-s-rF:
1、看功能(出现外部访问,翻译)
2、看传参。如果说传参中存在有后缀的东西[A级]
传参中出现协议名:http://
a.b 123.txt 1.xls 123.html
为什么有这些东西
1、读取文件显示给你
2、包含文件(文件包含)
3、下载文件
防护:
通过正则匹配。不允许你传内网地址
127.0.0.1=>拦截访问
怎么绕过?
域名肯定是要解析成IP;
我们自己申请个域名,把地址指向127.0.0.1
子域名有一种情况叫做泛解析:
当这个子域名没有特殊规定的时候,自动解析到某个ip
二、s-s-rF攻击
dict://查看字典,可用于探测端口
file://协议 打开服务器的文件
https://www.uedbox.com/post/10801/
https://www.uedbox.com/post/12328/
通过传递url值来实现让服务器访问url值的网站
<?php
$URL = $_GET[\'url\'];
$CH = CURL_INIT();
CURL_SETOPT($CH, CURLOPT_URL, $URL);
CURL_SETOPT($CH, CURLOPT_HEADER, FALSE);
CURL_SETOPT($CH, CURLOPT_RETURNTRANSFER, TRUE);
CURL_SETOPT($CH, CURLOPT_SSL_VERIFYPEER, FALSE);
CURL_SETOPT($CH, CURLOPT_FOLLOWLOCATION, TRUE);
$RES = CURL_EXEC($CH);
CURL_CLOSE($CH);
echo $RES;
?>
http://localhost/index.php?url=http://www.baidu.com
三、靶场演示
用burp抓包,dict协议检测端口,发现81端口有东西
查看源码发现flag
- 点赞
- 收藏
- 关注作者
评论(0)