概述
over permission源码分析
水平越权
登陆lucy账号,查看个人信息
退出lucy账号
登陆kobe账号,查看个人信息
我们发现查看个人信息的url有规律,查看kobe个人信息的的url为http://localhost/pikachu/vul/overpermission/op1/op1_mem.php?username=kobe&submit=点击查看个人信息
查看lucy个人信息的的url为
http://localhost/pikachu/vul/overpermission/op1/op1_mem.php?username=lucy&submit=点击查看个人信息
现在kobe是登录状态,lucy是未登录,但是在访问查看lucy个人信息的url,可以看到lucy的个人信息。由此存在水平越权漏洞。
代码分析
查看信息的页面:
跟进check_op_login函数,函数只检查了isset($_SESSION[‘op’][‘username’]) && isset($_SESSION[‘op’][‘password’])
再去看看登陆界面的代码:不管是lucy还是kobe,登陆之后都设置$_SESSION[‘op’][‘username’] 和 $_SESSION[‘op’][‘password’]
以上,存在越权漏洞,因为在查看信息的界面,只判断是否登陆,没有判断是谁登陆。
垂直越权
先登录pikachu账号,发现只有查看权限
登陆admin账号,发现有查看和添加权限
admin账号随意添加一个会员,
这里是这次添加会员的请求包,之后会用到
现在退出高权限的admin账号,登陆低权限的pikachu账号,我们试试能不能用低权限的账号越权做添加会员用户的操作。
pikachu账号登陆之后,重发刚才添加会员的请求包,但是把cookie改成piakchu账号的cookie。
发现添加成功
代码分析
op2_login.php
op2_admin.php
op2_user.php
由admin.php和user.php得知,在只登陆pikachu账号而未登录admin账号时,访问admin的页面是访问不成功的,因为admin.php有检验账号的level级别。
我们再看看添加账号的页面代码:
没有检验level级别,才导致越权存在。
修复方案
对权限进行严格的校验
