SRC技巧篇-垂直越权

声明

本文属于OneTS安全团队成员Asoul的原创文章，转载请声明出处！本文章仅用于学习交流使用，因利用此文信息而造成的任何直接或间接的后果及损失，均由使用者本人负责，OneTS安全团队及文章作者不为此承担任何责任。

网上的垂直越权一般都是教修改参数，例如level=user修改成level=admin这种。

但是在多次渗透测试和src的挖掘过程中我发现了一种非常常见的垂直越权方式。这种越权方式一般出现在“xxx系统”这样的地方。

首先先注册一个管理员账户和一个普通用户。普通用户直接设置成什么权限都没有

然后刷新管理员界面，在历史包中找到了这个接口，这个包的作用是什么呢？

我们都知道现在“xxx系统”的ui界面，一般都是在最左侧会有一串功能导航。

那么系统一定会需要一个包来分辨普通用户和管理员的功能导航不一样，因此这个包就起到了作用。

这个包会返回所有功能，例如下面的退款记录和签到记录，打码的部分是每个功能所对应的“ID”，并且这些id值都是固定的，系统根据id来鉴权。

当响应包中带有这些id的时候，那么就被视为拥有这些权限。（有时候还可能返回url接口，在某次测试中也遇到过）

因此只要登录普通用户，然后在Burpsuite中拦截返回包，将管理员的响应内容黏贴，普通用户就能拥有这些管理员功能权限

此时可以看到左侧的功能导航已经有了功能，并且可以成功进行增删改查。

最后提一嘴：不是所有这种情况都能成功，还有一种情况，会做二次鉴权，即使有了功能导航，但是去操作具体功能的时候还是会显示没有权限

关注我们锁定更多精彩内容！