8-2 平行越权、垂直越权 | 8-3 s-s-rF-服务器端请求伪造

举报
Gere 发表于 2022/12/31 08:27:16 2022/12/31
【摘要】 一、什么是越权?越权漏洞的概念越权漏洞是一种很常见的逻辑安全漏洞。是由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能,从而导致越权漏洞。目前存在着两种越权操作类型:横向越权操作(水平越权)和纵向越权(垂直越权)操作。越权一般分为水平越权和垂直越权。水平越权是指相同权限下不同的用户可以互相访问垂直越权是指使用权...


一、什么是越权?

越权漏洞的概念
越权漏洞是一种很常见的逻辑安全漏洞。是由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能,从而导致越权漏洞。

目前存在着两种越权操作类型:横向越权操作(水平越权)和纵向越权(垂直越权)操作。

越权一般分为水平越权和垂直越权。
水平越权是指相同权限下不同的用户可以互相访问
垂直越权是指使用权限低的用户可以访问到权限较高的用户

水平越权测试方法主要就是看看能否通过A用户操作影响到B用户

垂直越权的测试思路就是低权限用户越权使用高权限用户的功能,比如普通用户可使用管理员功能。

image-20201028002830227

二、越权测试过程

把握住传参就能把握住逻辑漏洞的命脉

越权测试
登录A用户是,正常更改或者是查看A用户信息,然后抓取数据包,将传参ID修改为其他用户,如果成功查看或者修改了同权限其他用户的信息就属于水平越权测试。(如果可以影响到高权限用户就是垂直越权)

image-20201028002852902

传参ID参数需要自己检测(常见:uid= id= user= 等)通常使用burp进行爆破传参(传参可能在GET POST COOKIE)

常见平行越权(不需要输入原密码的修改密码,抓包改用户名或者用户id修改他人密码
修改资料的时候修改用户id
查看订单的时候,遍历订单id
等)

三、常见越权漏洞

1.通过修改GET传参来越权(http://www.anquan.us/static/bugs/wooyun-2016-0205340.html)

2.修改POST传参进行越权(http://www.anquan.us/static/bugs/wooyun-2016-0207583.html)

3.修改cookie传参进行越权(http://www.anquan.us/static/bugs/wooyun-2016-0184633.html)

抓取传参可以在浏览器、APP、应用程序(exe)

还有一类叫做未授权访问,严格意义上而言这个不属于越权漏洞,但是在日常测试中常常会遇见
(只要输入正确的网址就可以直接访问,例如/admin默认是登录,登录后跳转到user.php,然后你直接访问user.php,发现你直接有后台权限)
http://www.anquan.us/static/bugs/wooyun-2016-0189174.html
Web攻防之业务安全实战指南 (陈晓光 胡兵 张作峰 等 著) 建议下载PDF观看

四、靶场实战

注册登录,修改Cookie,将admin改成1,shenfen改成1

image-20201028002328426

image-20201028002611585

image-20201028002634470

8-3 s-s-rF-服务器端请求伪造

一、什么是s-s-rF?

控制目标站点去访问其他网站

可以访问内网和本机

为什么访问到本机和内网才有严重危害:

1.安全界有个通病,外紧内松,内网全部是洞,安全性不需要那么强

2.本机比内网更脆弱,很多站点和防护软件,对127.0.0.1的本地访问并不会拦截当你有网站管理员权限的时候,某些站点的自带防护也会不拦截

3.找到一些正在开发的网站

image-20201028201845855

能用s-s-rF做什么?

  • 扫描内部网络(FingerPrint)

  • 向内部任意主机的任意端口发送精心构造的数据包{Payload}

  • DOS(请求大文件,始终保持连接Keep-Alive Always)

  • 暴力穷举(users/dirs/files)

怎么寻找s-s-rF:
1、看功能(出现外部访问,翻译)
2、看传参。如果说传参中存在有后缀的东西[A级]
传参中出现协议名:http://
a.b 123.txt 1.xls 123.html
为什么有这些东西
1、读取文件显示给你
2、包含文件(文件包含)
3、下载文件

防护:
通过正则匹配。不允许你传内网地址
127.0.0.1=>拦截访问
怎么绕过?
域名肯定是要解析成IP;
我们自己申请个域名,把地址指向127.0.0.1
子域名有一种情况叫做泛解析:
当这个子域名没有特殊规定的时候,自动解析到某个ip

二、s-s-rF攻击

dict://查看字典,可用于探测端口

file://协议 打开服务器的文件

https://www.uedbox.com/post/10801/
https://www.uedbox.com/post/12328/

通过传递url值来实现让服务器访问url值的网站

<?php
	$URL = $_GET[\'url\'];
	$CH = CURL_INIT();
	CURL_SETOPT($CH, CURLOPT_URL, $URL);
	CURL_SETOPT($CH, CURLOPT_HEADER, FALSE);
	CURL_SETOPT($CH, CURLOPT_RETURNTRANSFER, TRUE);
	CURL_SETOPT($CH, CURLOPT_SSL_VERIFYPEER, FALSE);
	CURL_SETOPT($CH, CURLOPT_FOLLOWLOCATION, TRUE);
	$RES = CURL_EXEC($CH);
	CURL_CLOSE($CH);
	echo $RES;
?>

http://localhost/index.php?url=http://www.baidu.com

三、靶场演示

image-20201028204237174

用burp抓包,dict协议检测端口,发现81端口有东西image-20201028204619387

image-20201028204744898

查看源码发现flag

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。