PiKachu靶场之水平/垂直越权
概述
如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。 越权漏洞形成的原因是后台使用了 不合理的权限校验规则导致的。
一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对 对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。
因此,在在权限管理中应该遵守:
1.使用最小权限原则对用户进行赋权;
2.使用合理(严格)的权限校验规则;
3.使用后台登录态作为条件进行权限判断,别动不动就瞎用前端传进来的条件;
你可以通过“Over permission”对应的测试栏目,来进一步的了解该漏洞。
一、水平越权
首先登录一下用户kobe的账户:
点击查看个人信息之后, 通过GET请求参数username来查询对应用户的信息:
分析
重点是这里的username参数是可控的, 加入修改为其他值呢?
漏洞利用
若我们知道还有一个lucy用户, 那么把username改为lucy:
从而达到水平越权查看用户信息。
二、垂直越权
在垂直越权中, 有两个用户, 一个是admin(超级管理员)和pikachu(普通用户)
权限分配如下:
- admin 有查看、添加和删除用户的权限
- pikachu 只有查看用户信息权限
分析
admin用户权限高于pikachu用户,pikachu用户越权操作admin用户的权限的情况称为垂直越权。
漏洞利用
首先登录admin, 然后添加用户:
创建成功之后, 抓一下数据包, 把包发送Repeater模块测试, 再包当前数据包放出去, 保留了Repeater模块的数据包通道 (与服务器连接的独立的通道):
可以看到, 用admin管理员新增了test用户:
这时候退出admin, 在Repeater重新发送创建用户test的请求就会失效, 因为admin已经退出, 没有用户登录是不能执行的:
登录普通用户pikachu (只有查看权限):
记录下用户pikachu的cookie, 这个相当于登录pikachu的标识。
然后回到Repeater模块的通道, 尝试用普通用户pikachu的身份(cookie)去创建新用户hack:
回去查看, 发现成功创建用户hack:
原因是后台没有判断发送这个数据包的用户权限。
总结
如果要做一个形象的比喻的话:
- 水平越权就是用别人的卡
- 垂直越权就是用一百元买一万元的东西