业务逻辑漏洞-越权
2023-3-2 22:1:20 Author: Ms08067安全实验室(查看原文) 阅读量:18 收藏

文章来源 | MS08067 Web零基础1期作业

本文作者:54188(Web零基础1期学员)

越权漏洞复现

一、前言

越权的原理

由于没有对用户权限进行严格的判断,导致低权限的账号(比如==普通用户==)可以去完成==高权限账号==(比如超管)范围内的操作,如果能够成功操作,则称之为越权操作。越权漏洞形成的原因是==后台使用了不合理的权限校验规则导致的==。

平行越权、垂直越权、交叉越权

水平越权:用户A和用户B属于同一级别用户,但各自不能操作对方个人信息。用户A如果越权操作用户B个人信息的情况称为水行越权操作。

垂直越权:用户A权限高于用户B,用户B越权操作用户A的权限的情况称为垂直越权。

交叉越权:既存在水平越权也存在垂直越权

[========]

二、环境搭建

本次为线上靶场环境

线上靶场环境:

腾讯云服务器

OS 名称:          Microsoft Windows Server 2012 R2 Datacenter
域:               WORKGROUP
登录服务器:       \\10.0.12.9
修补程序:         安装了 165 个修补程序。

搭建工具:phpstay_pro MetInfo 企业网站管理系统 V4.0  | CMS

三、影响范围

MetInfo 企业网站管理系统 V4.0

四、漏洞复现

4.1  找到越权可利用点_注册模块

4.2 注册2个用户

权限均为普通会员

用户1:ms08067_01密码:ms08067_01 用户2:ms08067_02密码:ms08067_02

4.3 寻找利用点

并寻找利用点,常见的利用点就是修改资料,正好该网站存在,马上利用

4.4 尝试平行越权

抓包将 useid 改为 ms08067_02;提示操作成功

4.5 验证平行越权

验证平行越权,尝试登录ms08067_02的账号密码为ms08067_01,登录成功;即存在水平越权漏洞

4.6 尝试垂直越权

将useid改为admin尝试一下,结果显示操作成功

4.7 验证垂直越权

尝试找到后台地址,url栏输入admin自动跳转http://114.132.155.97/admin/index.php?lang=cn 使用admin用户,密码为ms08067_01,登录成功;即存在垂直越权

4.8 利用上传点,尝试获得webshell

查看可利用的上传点,上传木马获得webshell 在界面风格=>模板管理=>添加模板=>选择dama.zip点击添加;即可上传大马

4.9 寻找大马路径

返回包里,没看到有返回路径,还需要找一下,随便点点,点到了旁边的编辑模板,页面出来一个报错路径。

4.10 登录大马

目录扫描时扫到了robots.txt文件,对比刚才报错的路径,猜测文件应该目录应该是在http://114.132.155.97/templates当中 最终试出http://114.132.155.97/templates/dama/dama.php

4.11 上传小马

为什么多此一举上传小马呢?不习惯用大马,命令终端没有webshell连接工具(菜刀)用的舒服。使用菜刀连接该站点主机,看了一下内网,啥都没有,太干净了,看了看没有域林,有点可惜,那就止步于此了?

4.12  来都来了

既然都到这一步了,来服务器留下足迹吧,查看开放端口发现开放了3389,看了一下进程没有杀毒软件,wow这不就是等我连接了吗,那就来吧,创建隐藏用户,添加到管理员组,话不多说,直接连接。看最终留下了啥吧

五、缓解措施

权限管理需遵守:
使用最小权限原则对用户进行赋权;
使用合理(严格)的权限校验规则;
使用后台登录态作为条件进行权限判断;

六、总结:

1、测试平行越权:在会员中心 => 修改基本信息 =>  ms08067_01 => 抓包 => 改useid= ms08067_02 =>成功修改ms08067_02密码

2、测试垂直越权 在会员中心 => 修改基本信息 =>  ms08067_01 => 抓包 => 改useid= admin=>成功修改了admin的密码并成功登录后台

3、获得webshell 在后台 => 界面风格 => 模板管理 => 添加模板 => 添加dama.zip => 找大马路径 => 传小马

4、连接主机,获得主机权限 菜刀通过小马连接 => 命令终端查询开放端口、查看进程 => 创建管理员用户 => 完成连接

越权:通过抓包,对网站可能出现越权的利用点,进行改包,修改关键传参如username、id 等等 (改传参,多试几个,说不准就中了!!!)

七、参考

wiki(越权):http://119.91.254.227/doc/2197/

想和这位学员一样学有所得吗?

Web渗透工程师零基础就业班

等你加入

详情看这里👇👇👇

—  实验室旗下直播培训课程  —


来和20000+位同学加入MS08067一起学习吧!


文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247506855&idx=1&sn=05616210d1ab3130cbb807e21e688c60&chksm=fc3c62a6cb4bebb09fb363ed67496dd98dea8da0671bf0f51a899aac931c58bfe8c67b718b99#rd
如有侵权请联系:admin#unsafe.sh