奇安信攻防社区-迷糊的全局守卫

迷糊的全局守卫

随着技术的发展，前后端分离越来越流行，因为这样的流程使得前后端各负其责，前端和后端都做自己擅长的事情，不互相依赖，开发效率更快，而且分工比较均衡，会大大提高开发效率，但有些问题也显露了出来......

0x00 前言
=======

随着技术的发展，前后端分离越来越流行，因为这样的流程使得前后端各负其责， 前端和后端都做自己擅长的事情，不互相依赖，开发效率更快，而且分工比较均衡，会大大提高开发效率，但有些问题也显露了出来......

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-6679708404a145dfe9f556190ad84f8124c9f86a.png)

0x01 案例 - 伪造Roles欺骗全局守卫导致越权
===========================

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-680d35482aa9309c3525c1c8d08d1f3ea67cf61f.png)

F12 发现了许多敏感的路由，便注册一个账号 开始进行测

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-40d24b1fb6bdba17260ae67972bf71f64e2c131c.png)

进来后当然是习惯的拼接路径，来未授权 可是无果。后发现有两个相同的path

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-0131dc24deb914f7c931820572e8c86624970a32.png)

观察了一下，发现一个可以访问页面权限大，一个访问页面的权限小。然后看了看F12-NetWork，发现了问题

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-9d54dbda2887e4670b4774dd1d1fe7b4160d260c.png)

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-a914fdbc74501cf56333f4d0fdceedc9b76c7b1d.png)

研究了一会，决定尝试把role="APPLICANT"，修改成role="SCHOOL"看是否可以访问权限大的页面

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-f6ddc96baf5d0627ece262f6d6d1790b8e7d4f19.png)

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-4563c4f4712a5dd62a482e68b1e2a967d3656def.png)

越权成功！

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-2a50cd1ab3598414010be3a1c94bafc106b03150.png)

0x02 补充 - 第一个案例引起的思考
====================

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-c99cfeea31f125d8bbd1bb4868c8f357b4fa5609.png)

最近在研究的时候发现上面案例的问题还是挺多网站存在的，然后自己总结 + 分析原因 后又发现新一类的问题的思路

看了上一个案例，再通过下面两张图相信大家已经知道了我的下一步  
![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-fdfe223bdaa454939475e9823e385dd6bffc6d3b.png)

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-d6f5310993cdfc6cb5b00011cd1a88a51c551ccc.png)

将role="student"修改为role="sa"，直接放结果图

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-6bacd9a4fc97253f73dd82c0fb7d6d686fd69401.png)

思考是因为我只修改了response，并没有实际的去修改返回的token，那么又是怎么 “越权” 的呢？

![微信图片_20220804160543.png](https://shs3.b.qianxin.com/attack_forum/2022/08/attach-69e12b303d0fbad2335f79644f72cf0be02110bc.png)

发现这类问题通常伴随着鉴权不严格所导致的，观察了没有修改role的请求，发现没有token字段的存在

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-0bf9419f40ea359fa6139d62736608caa056af4e.png)

后看了看JS文件，发现了管理员是如何发起请求的

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-f3fd0c4700d7ce784318a5e0755ae685821a94e9.png)

手动构造数据包，成功获取数据！所以如果以后我们从JS找到了一些接口，访问却提示无权限，那么我们就可以尝试在JS里管理员请求所带上的字段，再次尝试访问

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-572164dd12a9bef1a40dd9749e1cc53e853b0ac9.png)

0x03 案例 - 前端逻辑不完善导致绕过全局守卫未授权
============================

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-f458c297795be9b780cf34e3ec04ab42946b0925.png)

F12 发现了许多敏感路径 注册一个账号 开始测试

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-104d41bd023229043564db0ad31b5bda9ffb33b7.png)

然后尝试拼接实现未授权，拼接，虽然提示没有权限 + 跳转回home页面，但是他这一瞬间显示的总用户和总提交数引起了我的注意，感觉有戏

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-57132a4dcdc2654d6d2a01540e821b4d15eaf2f3.png)

抓包访问，发现是有一处接口的功能是返回总用户数，看来他只做了前端的全局守卫看是否为管理员，后端并没有进行认真的鉴权

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-c4816b3a98dfefeb7f222e877983c09985678195.png)

抓包进入，点击 “题目” ，后再放包，即可绕过跳转逻辑

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-e6f6bf9835c3abd63fea72e81e775e1c62d0d64a.png)

未授权成功！

![](https://shs3.b.qianxin.com/attack_forum/2022/07/attach-06f7a898476d67999aad7c932e2a236a6e7172a3.png)

0x04 总结
=======

到这里，前后端分离的一些问题也是显露了出来，前后端做的事情不协调，后端以为前端使用全局守卫已经很安全，就没有对接口进行严格的鉴权操作，导致了问题的出现

发表于 2022-08-05 09:55:15
阅读 ( 8029 )
分类：渗透测试

7 条评论

name' 2022-08-02 22:46

0x02 补充 - 第一个案例引起的思考第五个图响应头里面的域名没打码。赶紧码上去，大师傅。

TUANOAN 回复 Egoista

复现的好处多多滴

2022-08-23 18:53
回复

Egoista 回复 TUANOAN

突然想起来，这些API和接口以及复现方法，是不是都得自己做过一遍才能理解思维和操作方法？好像自己做一遍也浪费不了多久时间对吧，只要做出来的程度并不需要精通对吧

2022-08-23 09:59
回复