一个简单的平行越权(无忧购物cms)

前言:

使用cms版本:链接:https://pan.baidu.com/s/15ARRH_Ntq6w4XNJYcO73Ag 提取码:qyei

0X00

       越权漏洞:

  1. 越权漏洞即可以超越自己账号权限实习某一些操作,是逻辑漏洞,挖掘难度应该挺高的。
  2. 越权漏洞分为:平行越权和垂直越权。
    1. 平行越权:是指被越权对象和自己的权级相当,攻击者可以利用漏洞查看到自己与被越权对象相同多的信息。(实验漏洞属于平行越权)
    2. 垂直越权:是指被越权对象比自己权级高,可以通过漏洞获取更高权限内容。
  3. 其余具体可以参见漏洞银行技能树关于越权的文章。

 

0x01

       漏洞复现:

  1. 无忧购物是一个基于asp的web购物站点,年代久远,所以漏洞较多。适合我这样的新手审计。
  2. 本次漏洞出现在用户查看自己订单的地方,通过越权可以查看到其他用户的订单信息。
  3. 具体:
    1. 首先注册用户test1,然后随意下单购买一件物品。

一个简单的平行越权(无忧购物cms)_第1张图片

    1. 可以看到这件物品的订货人是test1,然后查看订单详情的地址是:submore.asp?sub_id=6。
    2. 现在我们退出test1账号,为了确保cookie清除,可以使用工具全部清除cookie,或者可以重新启动浏览器。然后注册test2账号,再买一件物品也来到订单详情的页面。

一个简单的平行越权(无忧购物cms)_第2张图片

    1. 可以看到整个登录账号的信息是test2,而且订单的下单人是test2,订单详情的地址是:submore.asp?sub_id=7。接下来要进行越权了
    2. 我们可以修改上面那个sub_id参数的值,但是有一点在这个导航的界面,那个值是无法修改的,我们可以选择在进入详情的过程中使用代理软件修改参数,比较麻烦。在详情的页面有一个超链接,我们可以修改超链接的地址然后跳转。

一个简单的平行越权(无忧购物cms)_第3张图片

    1. 最原始的超链是指向:views.asp?hw_id=509,现在我们把连接改成:submore.asp?sub_id=6,这个是刚才test1用户购买的物品的详细情况地址。

一个简单的平行越权(无忧购物cms)_第4张图片

    1. 然后跳转之后就可以发现,直接查看到了test1用户的id=6的订单的详情

一个简单的平行越权(无忧购物cms)_第5张图片

    1. 可以看到登录账号是test2但是查看到了test1刚才的订单。发生了平行越权。

 

 

 

0x02 代码层面分析漏洞

  1. 涉及的脚本文件order.asp和submore.asp

一个简单的平行越权(无忧购物cms)_第6张图片

  1. (asp代码具体是看不懂的)但是我发现了一个重要问题,所有权限上只验证了cookie值是否为空,没有验证cookie之间是否对应,或者权级是否匹配。

 

一个简单的平行越权(无忧购物cms)_第7张图片

       3、其余,略。

你可能感兴趣的:(代码审计)