米斯特白帽培训讲义 漏洞篇 越权

讲师:gh0stkey

整理:飞龙

协议:CC BY-NC-SA 4.0

越权漏洞是 Web 应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是开发人员在对数据进行增、删、改、查时对客户端请求的数据过于信任而遗漏了权限的判定。所以测试越权就是和开发人员拼细心的过程。

漏洞篇 越权 - 图1

分类

  • 水平越权:权限不变,身份改变
  • 垂直越权:身份不变,权限改变

信息遍历

  1. <?php
  2. $id = @$_GET['id'];
  3. $arr = array('1', '2', '3', '4', '5');
  4. if(in_array($id, $arr, true)) 
  5.     echo "用户名:$id 密码:123456";
  6. else
  7.     echo "信息出错";

这段代码首先从 URL 参数中读取 ID,之后与现存 ID 比对,如果存在则输出 ID 和密码,不存在则报错。这里 ID 是被查询的信息,假设系统里一共就五个 ID。由于这里不存在过滤,那么我们可以不绕过任何东西来查询它们。

信息遍历属于水平越权,因为用户还是普通用户,但是身份变成了其它的普通用户。当遇到带有id=xxx的页面时,我们要留意它,因为这里可能存在越权漏洞。我们可以手动测试,将id改为其他值,也可以使用 Burp 的爆破功能来测试。

隐藏式后台

一些网站的后台不存在任何用户校验,反之,它会把后台隐藏起来。隐藏之后,公开页面上不存在任何到后台的链接,但是如果直接输入 URL,还是可以访问的。那我们就能使用扫描器扫出后台地址,然后直接访问。

隐藏式后台属于垂直越权,因为用户的身份没有变,但是它拥有了管理员权限。

Cookie 绕过

有些时候,我们可以绕过 Cookie、JS 代码的验证执行越权。

首先看一段代码:

  1. <!-- pass-cookie.php -->
  2. <form action="" method="post">
  3.     <input type="text" name="name"/>
  4.     <input type="password" name="pass"/>
  5.     <input type="submit" value="登录"/>
  6. </form>
  7. <?php
  8. $name=@$_POST['name'];
  9. $pass=@$_POST['pass'];
  10. if($name=="admin" && $pass=="admin123"){
  11.     setcookie('name','admin');
  12.     header("Location:user.php");
  13. }

这段代码模拟了登录页面,如果账号是admin,密码是admin123,则在 Cookie 中将name设置为admin,然后跳到user.php

再来看user.php

  1. <?php
  2. if (!isset($_COOKIE["name"])){
  3.     header("Location:past-cookie.php");
  4. }else{
  5.     $name=$_COOKIE['name'];
  6.     echo "Welcome ".$name;
  7. }

这段代码先检验 Cookie中的name,不存在则跳回去,存在则输出其值。

这段代码的最大问题就是验证极其不严密,它拿到name之后并没有验证它是谁,也没有使用数据库来查询。就像劲舞团里面,我们按特定的键才能通过,他这个漏洞就相当于,游戏需要我们按下Z,但是我们按下X也能通过,甚至按任意键也可以。

既然 Cookie 是用户可控的,那我们就可以伪造一个值了,我们接下来会用到 BurpSuite。首先在 浏览器中将代理设为127.0.0.1:8888

漏洞篇 越权 - 图2

漏洞篇 越权 - 图3

之后打开 Burp,设置代理,并打开拦截模式:

漏洞篇 越权 - 图4

漏洞篇 越权 - 图5

假设我们不经过登录页面,直接访问user.php,Burp 中应该能看到拦截到的请求:

漏洞篇 越权 - 图6

我们伪造Cookie: name=xxx,然后放行:

漏洞篇 越权 - 图7

漏洞篇 越权 - 图8

成功绕过了验证。

JS 绕过

JS 绕过则是把所有校验放在前端,比如,user.php的内容改为:

  1. <script>
  2. function chkcookies()
  3. {
  4.   var NameOfCookie="name";
  5.   var c = document.cookie.indexOf(NameOfCookie+"="); 
  6.   if (c != -1)
  7.   {
  8.     return true;
  9.     alert("登录成功");
  10.     var str_html="<h1>欢迎登录本系统</h1>";
  11.     document.write(str_html);
  12.   }
  13.   else
  14.   {
  15.    alert("请不要非法访问");
  16.    location.href="past-js.php";
  17.   }
  18.   return false;
  19. }
  20. chkcookies();
  21. </script>

那我们就不必改什么 Cookie了,直接访问服务器拿到纯文本,之后不解释 JS 就可以了。