WEB漏洞—逻辑越权之水平垂直越权

逻辑越权简介

1.水平越权

---通过更换的某个 ID 之类的身份标识，从而使 A 账号获取（修改、删除等）B/C/D账号数据（权限相同）。

2.垂直越权

---使用低权限身份的账号，发送高权限账号才能有的请求，获得其高权限的操作。

3.未授权访问

---通过删除请求中的认证信息后重放该请求，依旧可以访问或者完成操作。(有些操作要管理员才行) 

pikachu靶场练习

1.水平越权

#进入靶场登录

#查看个人信息，利用bp抓取数据包

#将username=kobe改成lucy，放出去，查看到lucy的信息

#查看源代码

---判断了是否登录就没有再做检查（猜测这里检查的cookie）

---检测传参submit和username，只有两者不为空就行

---具体显示的信息为username参数传递的用户名

2.垂直越权

#管理员登录可以进行删除操作，而普通用户无删除操作

#先管理员登录，获取添加用户的数据包 （这里添加zhixiaoxi用户 ，密码666）

POST /pikachu/vul/overpermission/op2/op2_admin_edit.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 88
Origin: http://127.0.0.1
Connection: close
Referer: http://127.0.0.1/pikachu/vul/overpermission/op2/op2_admin_edit.php
Cookie: PHPSESSID=5fung937k09rcuannju77jtk81
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1

username=zhixiaoxi&password=666&sex=&phonenum=&email=&address=&submit=%E5%88%9B%E5%BB%BA

#登录pikachu用户，获取cookie

Cookie: PHPSESSID=a98pne72vb0fc19p7339vob993

#将pikachu用户的数据包全部更改为管理员添加用户的数据包，但cookie值用pikachu用户

#可以看到zhixiaoxi用户已被添加

#发现新用户被添加（垂直越权的前提条件：获取管理员添加用户的数据包）

#总结（获取数据包的信息方法）

---前端有操作，可以直接抓包

---盲猜添加用户的数据包信息

---获取网站的源码，在本地进行测试

---漏洞有些鸡肋，但是在用户登录的时候，可以利用该漏洞直接进入管理员界面。

墨者靶场练习

身份认证失效漏洞实战

#进入靶场

#登录测试账户并抓包，一遍一遍发包发现可疑测试点

#将末两位改为21，返回页面发现信息均已变化

#构造变量

#以00开头到99结尾

#根据长度变化可知，14-25具有用户信息

#返回网站，查看源代码发现马春生的编号是16

#抓包返回页面，可知马春生的登录账号为m233241，密码疑似md5加密，解密后是9732343

#登录成功，通关