不受保护的管理功能

image-20221222142401258

/robots.txt

image-20221222142859000

/administrator-panel

image-20221222142928762

image-20221222142940177

具有不可预测的 URL 的未受保护的管理功能

image-20221222143614197

image-20221222143359847

/admin-xr02aw

image-20221222143626112

image-20221222143634241

由请求参数控制的用户角色

image-20221222151349574

image-20221222151207253

修改 cookie

image-20221222151302838

image-20221222151336680

可以在用户配置文件中修改用户角色

image-20221222154237376

image-20221222154231971

在更新邮件的时候发现一个 roleid 我们尝试添加这个值

image-20221222154355283

发现可行

image-20221222154426751

image-20221222154512934

请求参数控制用户ID

image-20221222154616088

image-20221222154759144

/my-account?id=carlos

image-20221222154839467

请求参数控制用户ID,用户ID不可预测

image-20221222163515611

可以看到 存在一个 id字段

image-20221222163916532

尝试寻找carlos 的id

image-20221222164637556

image-20221222164648594

/my-account?id=f6027e85-b038-48a5-8b12-5487c871fdf8

image-20221222165045142

用户ID受请求参数控制,重定向时数据泄露

image-20221222165746243

image-20221222165734305

/my-account?id=carlos

访问时会发生302重定向

image-20221222170134120

但是访问的页面确实 carlos的页面

image-20221222170159434

image-20221222170209038

由请求参数控制的用户 ID,密码泄露

image-20221222171221288

/my-account?id=wiener

image-20221222171233578

/my-account?id=administrator

发现填充的 passwd

image-20221222171400157

用得到的密码登录

image-20221222171452397

image-20221222171514493

image-20221222171526070

不安全的直接对象引用

image-20221222171638973

发现可以进行聊天

image-20221222171750710

发现别人的聊天记录

image-20221222171807161

image-20221222171843645

image-20221222171905074

可以规避基于 URL 的访问控制

image-20221222172404689

image-20221222172352544

image-20221222172414892

在请求头中添加 X-Original-URL 这个字段的作用是用于存储原始的请求 URL . 代理服务器可以通过使用X-Original-URL来存储客户端发出的原始URL,以便于在转发请求时使用

X-Original-URL: /admin

image-20221222174650747

/?username=carlos
X-Original-URL: /admin/delete

image-20221222174726776

可以规避基于方法的访问控制

image-20221222180432410

我们可以先登录 adminstrator的账号来看看 页面是什么样的

image-20221222180518191

这里存在升级用户权限 和 降级用户权限

image-20221222180553302

image-20221222180905423

尝试使用非管理员的cookie去改权限

image-20221222181353212

发现未认证

尝试更改请求协议

POSTX

image-20221222181440918

image-20221222181411102

尝试更改请求方法发现成功

多步流程,一步无访问控制

image-20221223113516176

image-20221223113506542

image-20221223113526029

升级权限总共有两步

image-20221223113745800

session=iaGCLZARlHF62YfP1YfZNAplCbvSXWyB

尝试以普通用户身份来提升权限

image-20221223114156744

第一步存在权限认证 第二步没有

image-20221223114248487

基于引用的访问控制

image-20221223120123147

image-20221223120431336

image-20221223121007882

image-20221223120832533

这里尝试更改非管理员cookie

/admin-roles?username=wiener&action=upgrade

image-20221223121100367

添加Referer 可以成功

image-20221223121155609