垂直越权:是不同级别之间或不同角色之间的越权。由于后台应用没有做权限控制,或仅仅在菜单、按钮上做了权限控制,导致恶意用户只要猜测其他管理页面的 URL 或者敏感的参数信息,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。
win7操作机:10.0.0.2 centos7靶机:10.0.0.3
点击“启动场景”按钮,成功启动后,点击操作机按钮进入操作界面。
打开浏览器,输入http://10.0.0.3:50002
进入pikachu 靶场,并进入垂直越权模块。
根据右上角的提示以超级管理员身份 admin 登录。
在超级管理员的权限下,可以添加删除用户,以及查看所有用户信息。
尝试添加一个用户试试,并抓包。
将数据包发送到 Repeater 里面去。
退出超级管理员登录,此时 burp 中再次发送数据包时,已经无法执行添加用户操作。
登录普通用户(pikachu)。
普通用户只有查看用户权限。
使用burp抓取查询用户信息的请求。
在请求中,可以找到普通用户的cookie值。
Cookie: PHPSESSID=8eu1upm026h9ptpb7fsot6cou6
使用该cookie值替换添加用户请求中的cookie,点击发送请求。
此时回到页面刷新,用户新增了一个。
垂直越权成功,使用普通用户的权限实现了增加用户的操作。