几个常见的越权漏洞挖掘案例

十二 Z2O安全攻防 2024-11-27 13:20

水平越权1

我的随手拍这里，点击删除抓个包

可以看到是ids这个参数控制的

回到首页，点个查询抓个包

很明显这个ri_ir参数的值就是我们需要的ids

直接复制过来发送，回显true

记得回首页验证一下这条数据是否被删除

一般一个地方有越权，像删除增加或者其他功能点大概率也存在越权

水平越权2

点击新增功能点

这里选择学号，会先进行查询

data参数包含学号

直接遍历即可，逻辑很简单，只是功能点不容易被发现

垂直越权1

接口未做鉴权，只判断了用户是否登录，并没有校验用户是否有相应的权限

某功能点

这里可以看到无任何数据，用bp开启拦截，F5刷新页面

可以看到这是原有的数据包

这里把后面参数全删掉，放包

回到浏览器发现返回了全部数据

这里全局搜索下查询的接口，很明显可以看到接口的作用是用来编辑的

然后通过查询的接口可以看到字段相关信息

直接替换接口，复制上面的字段构造数据包，字段值随便修改，回显操作成功

然后通过越权查询可以看到数据已经被修改了

对于删除增加的接口都是一样的利用思路，如果有高权限的账号的话，可以直接在低权限没有的功能点进行抓包，然后将cookie替换为低权限用户的，还是正常返回就是存在漏洞

垂直越权2

本来无任何功能点，注册之后需要审核，但是前端泄露了很多接口

返回管理员账号的一些信息

按照上一个案例的方法可以越权增加删除等操作

对于一些小程序、app就需要反编译去找一找接口测试，请求参数肯定是在客户端，总能找到

利用模糊查询越权

查询的功能点，这里没有任何数据

参数值为学号

这里后端大概率使用了模糊查询，直接修改为%放包，%代表匹配所有

返回了大量敏感信息

绕过前端限制

包挨骂的水洞专用漏洞：如下图，只能选择这些里面的系统

这里点击保存，把能改的全改成111，假如没有申请人工号这个参数，也可以想办法找到之后手动添加，看看会不会被修改

可以看到系统已经选择了111，上面不能修改的申请人也变成了111

我这里只是保存草稿讲一下思路，实际还需要提交看看是否提交成功，大概率是能成功的

建立了一个
src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞

圈子专注于更新src相关：

1、维护更新src专项漏洞知识库，包含原理、挖掘技巧、实战案例
2、分享src优质视频课程
3、分享src挖掘技巧tips
4、小群一起挖洞

图片

图片

图片

图片