pikachu Over permission 越权(皮卡丘漏洞平台通关系列)

其他 2021-03-06 15:45:54 阅读次数: 0

目录

1、水平越权

(1)闯关

(2)原因

(3)防御

2、垂直越权

(1)闯关

(2)原因

(3)防御

3、尾声

这关也挺简单

1、水平越权

也称为横向越权,指相同权限下不同的用户可以互相访问,比如A和B是同权限的用户,如果A能看到理论上只有B能看到的信息,或者A能执行理论上只有B能执行的操作,那就是水平越权啦。

(1)闯关

进入pikachu的水平越权关卡,一开始要求登录

越权总要先用一个用户登录成功吧,点一下提示,这关有三个同级别的用户,账号密码分别是lucy/123456,lili/123456,kobe/123456

先用lucy登录,发现有个可以点击查看个人信息的地方

点一下,回显了lucy的个人信息

注意到上图中url的参数username的值是用户名lucy,那么会不会该参数值是哪个用户名就回显哪个用户的信息呢?

来试一下payload:http://ip:port/pikachu/vul/overpermission/op1/op1_mem.php?username=kobe&submit=点击查看个人信息#

成功看到kobe的个人信息,lili也是一样,就不演示了

(2)原因

到底为啥会出这种问题?来看一下源代码

啊,和猜想的一样,是因为查找用户信息的时候传入的参数是直接从url中获取的,没有校验当前用户

(3)防御

接下来我想试一下防御水平越权。

如下图所示,27行增加判断url传入的username和当前用户是否匹配,如果匹配则为$username赋值,若不匹配则不赋值。

尝试一下,首先是直接点“点击查看个人信息”按钮,返回了当前登录用户lucy的个人信息

再尝试一下把url中的lucy改成kobe,没有返回kobe的个人信息,成功防御水平越权

2、垂直越权

又称纵向越权,指使用权限低的用户可以访问到权限较高的用户。比如A用户权限比B低,如果A可以访问理论上只有B才能访问的资源,或者执行理论上B才能执行的操作,那就是垂直越权啦。

(1)闯关

点进这关又是个登录页面

点一下提示,看看有哪些用户:

admin/123456,pikachu/000000,admin是超级boss

先用pikachu登录看看有哪些权限:

pikachu只有后台管理中心的查看权限

退出登录,再用admin用户登录,看看有哪些权限:

admin可以查看,添加,删除

下面分别进行添加和删除操作,记录相关的url:

先添加用户

url是:http://ip:port/pikachu/vul/overpermission/op2/op2_admin_edit.php

再创建一个用户heihei

再来看删除:

点击刚创建的haha用户那行的删除按钮,haha被删掉了,注意到url如下:

http://ip:port/pikachu/vul/overpermission/op2/op2_admin.php?id=25

好了,现在admin退出登录,再用pikachu登录

直接输入地址栏输入payload:http://ip:port/pikachu/vul/overpermission/op2/op2_admin_edit.php

顺利来到了添加用户的页面

创建用户enen,创建完之后会跳到登录页面,但是不要担心,用pikachu登录之后,发现用户enen已经创建成功

下面再来试试浏览器地址栏直接输入http://ip:port/pikachu/vul/overpermission/op2/op2_admin.php?id=26

回车之后也跳转到登录页面了,登录之后发现heihei还在

用admin登录之后删除heihei,确认heihei的id确实是26

这表示本关的垂直越权漏洞仅存在于http://ip:port/pikachu/vul/overpermission/op2/op2_admin_edit.php,不存在于http://ip:port/pikachu/vul/overpermission/op2/op2_admin.php?id=

(2)原因

看一下这两个操作的具体处理过程有什么区别:

先看没问题的删除操作op2_admin.php:

主要是23~26行,判断了用户是否登录,是否权限级别为1(超级boss),如果任意一条不满足,就跳转到登录页面

再来看看有问题的op2_admin_edit.php:

22~25行,只验证了用户是否登录,如果没登录就跳转到登录页面,没有验证用户权限等级,但前端显示添加用户是权限等级为1的用户才能执行的操作,因此这里有垂直越权漏洞。

(3)防御

来试一下防御,应该很简单,根据op2_admin.php修改一下op2_admin_edit.php:

22行增加对用户权限等级的判断$_SESSION['op2']['level']!=1

现在代码的意思变成,如果用户没登录或者权限等级不为1,则跳转到登录页面

用pikachu用户登录,直接在浏览器地址栏输入http://ip:port/pikachu/vul/overpermission/op2/op2_admin_edit.php,结果不再是跳转到添加用户的页面,而是跳转到用户登录的页面。防御成功

3、尾声

pikachu对越权漏洞的解释也有点怪怪的,这里就不贴了,网上看到一篇比较简洁的介绍还不错:水平越权与垂直越权

猜你喜欢

转载自blog.csdn.net/elephantxiang/article/details/113480084
今日推荐
周排行
报错 : Field sysLogService in com.tedu.controller.SysLogController required a bean of type 'com.tedu.service.SysLogService' that could not be found
python正课2
六、JAVA_int的最大值或最小值
应用程序开发总结(10)--存在完美的数学计算
图书管理系统1.0(当然是很简low的系统,没有华丽界面,但是很锻炼软件开发能力,只用到c++的面向对象知识)
delphi操作wps表格
区块王者荣耀游戏系统开发介绍
2015年度笔记统计与2016规划
Linux 平台下zRAM 和 swap 使用(内存交换)
Java面试基础知识点-框架
每日归档
更多
2025-03-23(0)
2025-03-22(0)
2025-03-21(0)
2025-03-20(0)
2025-03-19(0)
2025-03-18(0)
2025-03-17(0)
2025-03-16(0)
2025-03-15(0)
2025-03-14(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022