Question

16.2.1 某办公系统普通用户权限越权提升为系统权限

服务器为鉴别客户端浏览器会话及身份信息，会将用户身份信息存储在 Cookie 中，

并发送至客户端存储。攻击者通过尝试修改 Cookie 中的身份标识为管理员，欺骗服务器分

配管理员权限，达到垂直越权的目的，如图 16-14 所示。

某办公系统存在纵向越权漏洞，通过修改 Cookie 可直接提升普通用户权限为系统权

限。

图 16-14 纵向越权流程图

步骤一：使用普通权限账号 a02 登录办公系统，成功登录后访问链接

http：//host/aaa/bbb/editUser.asp？iD=2，尝试修改权限。

由于普通用户无法访问修改权限模块，系统会跳转到 NoPower 页面提示用户无操作权

限，如图 16-15 所示。

图 16-15 a02 用户没有权限访问该模块

步骤二：使用 Burp Suite 修改 Cookie 中的 Tname 参数为 admin，欺骗服务器该请求为系

统管理员发出的，成功提升账号 a02 为系统管理员权限，如图 16-16 所示。

图 16-16 将 a02 用户 Cookie 中的 Tname 修改为 admin

步骤三：再次访问权限修改 modifyuser 页面 http：//host/aaa/bbb/editUser.asp？iD=2，

如图 16-17 所示可成功访问。

图 16-17 a02 账号权限提升成功

16.2.2 某中学网站管理后台可越权添加管理员账号

攻击者通过删除服务器响应数据包中的跳转 JS 代码，未经身份验证直接进入后台“添

加用户”页面。然后利用 Cookie 先后添加普通用户 A 与 B，虽然 A 与 B 不能直接修改自己的

权限，但 A 与 B 可相互修改对方的权限，因此攻击者利用 A 将 B 的权限修改为管理员权限，

并以 B 的身份登录后台，最终实现垂直越权获得管理员权限，如图 16-18 所示。

图 16-18 纵向越权流程图

某学校网站管理后台存在越权漏洞，可以越权添加管理员账号。

步骤一：访问登录页面，尝试登录，如图 16-19 所示。

图 16-19 身份认证未通过

访问 http：//www.xxx.com/WEB/ABC/addUser.aspx 可直接打开添加用户页面，如图

16-20 所示。

图 16-20 未授权访问新增用户模块

添加账号 test，密码 123456，添加完用户返回首页登录，如图 16-21 所示。

图 16-21 使用新添加的用户登录系统

步骤二：登录成功后，提示没有分配管理权限，然后会强制退出管理系统，如图 16-

22 所示。

图 16-22 test 用户没有被管理员分配权限

但此时会生成一个 Cookie，如图 16-23 所示。

图 16-23 查看 test 用户的 Cookie

步骤三：使用该 Cookie 访问 http：//www.xxx.com/WEB/ABC/userList.aspx，可直接打

开分配权限的页面。其中 test 用户不能修改自己的权限，但可以修改其他用户的权限。再

添加一个新用户 test2，两者可以互相添加权限，如图 16-24 所示。

图 16-24 新增另一用户 test2

步骤四：使用 test 账号修改 test2 账号的权限为管理员权限，如图 16-25 所示。

图 16-25 修改 test2 用户为管理员权限

步骤五：使用 test2 账号重新登录，成功进入管理后台，如图 16-26 所示。

图 16-26 test2 用户成功登录管理员后台

16.2.3 某智能机顶盒低权限用户可越权修改超级管理员配置信息

攻击者以普通管理员身份登录后台，通过搜集信息获得管理员请求数据包进行重放，

越权修改超级管理员模块的设置，如图 16-27 所示。

图 16-27 纵向越权流程图

某智能机顶盒设备在后台管理上存在越权漏洞，在同一网络中的任意用户可以利用受

影响的页面，越权修改超级管理员的设备配置信息。

步骤一：使用超级管理员登录，配置 user 密码。智能机顶盒设备的超级管理员的账

户名和密码为 chinanet/123456，登录后查看该机顶盒的设备信息，如图 16-28 所示。

图 16-28 超级管理员登录系统后台

使用超级管理员登录后，在“管理”模块下的“用户管理”中配置 user 用户的密码，如图

16-29 所示。

图 16-29 user 用户密码配置

步骤二：使用超级管理员配置 proxy 代理地址，通过超级管理员在“应用”模块下

的“proxy 代理”中配置，然后获取相关的测试链接和参数，设置的值如图 16-30 所示。

图 16-30 proxy 代理配置

步骤三：通过这次的简单配置后，使用抓包软件进行抓取提交的链接和参数，如图

16-31 所示。

图 16-31 修改 proxy 代理的数据包

步骤四：退出超级管理员，清除浏览器的 Cookie 信息，使用 user 账号登录操作。与超

级管理员相比，user 用户在“应用”模块中只有简单的“日常应用”一项权限，并没有其他的

权限，如图 16-32 所示。

图 16-32 user 用户应用信息

步骤五：利用 user 用户的权限来进行配置以前没有权限配置的 proxy 代理的地址信

息，直接使用 hackbar 工具通过 POST 方式提交数据，如图 16-33 所示。

图 16-33 user 用户越权提交数据

通过抓取的数据包可以看出，使用的是 user 用户权限进行提交的，如图 16-34 所示。

图 16-34 user 用户越权提交的数据包信息

步骤六：再次使用超级管理员 chinanet 账户登录，单击进入“proxy 代理”的配置，此时

内容已经发生改变了，如图 16-35 所示。

图 16-35 越权提交数据的结果

16.2.4 某 Web 防火墙通过修改用户对应菜单类别可提升权限

攻击者以低权限身份请求登录系统，系统根据 category 参数的值（system.audit）分配

权限。攻击者修改 category 值为 system.admin，系统根据 category 值重新分配权限为超级管

理员，如图 16-36 所示。

图 16-36 纵向越权流程图

该系统程序对用户权限的控制是限制菜单及功能模块的访问，可以通过修改用户对应

的菜单类别的方式来改变用户身份欺骗系统，以达到访问其他权限模块的目的。

步骤一：以 audit 用户身份登录系统，使用 Burp Suite 抓包 category 的值 system.audit 修改为 system.admin，如图 16-37 所示。

图 16-37 修改 category 参数的值为 system.admin

步骤二：category 值修改以后，单击 Forward，进入管理员管理界面，如图 16-38 所

示。

图 16-38 audit 提升为 system.admin 权限

步骤三：将 useradmin 账户权限设置为最大，如图 16-39 所示。

图 16-39 将 useradmin 修改为最大权限

步骤四：使用 useradmin 账户登录系统，useradmin 拥有管理员权限，如图 16-40 所示。

图 16-79 登录 useradmin 账户