第一次上传

2025-08-27 14:07:52 +08:00
commit ac04d1bdb4
1310 changed files with 42760 additions and 0 deletions
--- a/02.WEB安全/14.逻辑漏洞.md
+++ b/02.WEB安全/14.逻辑漏洞.md
@@ -0,0 +1,375 @@
+# 14.逻辑漏洞
+
+## 1. 业务逻辑漏洞
+
+#### 1.1 漏洞成因
+
+逻辑错误漏洞是指由于程序逻辑不严谨或逻辑太复杂，导致一些逻辑分支不能够正常处理或处理错误。通俗地讲，一个系统的功能太多后，程序开发人员难以思考全面，对某些地方可能有遗漏，或者未能正确处理，从而导致逻辑漏洞。逻辑漏洞也可以说是程序开发人员的思路错误、程序开发人员的逻辑存在漏洞。
+
+#### 1.2 特性
+
+逻辑漏洞非常隐蔽，危害巨大，且无法被 WAF 等安全设备拦截。逻辑漏洞覆盖面很广，一直以来对于逻辑漏洞尚未产生明确的分类。其大致包括了：绕过功能限制、遍历、越权、弱口令、信息泄漏、任意用户密码重置、竞争性问题等。在一些场景下，由于功能本身设计复杂、易于出现纰漏，导致针对特定场景下的特定逻辑漏，如支付漏洞、验证码绕过漏洞等。
+
+## 2. 账户
+
+### 2.1 注册账户
+
+#### 2.1.1 注册覆盖
+
+注册重复用户名对用户数据进行覆盖
+
+#### 2.1.2 注册遍历
+
+进行注册的时候注册重复的用户名会提示用户名已被注册，我们可以利用该方法猜测用户名。如果可以批量提交，将会产生严重问题。
+
+### 2.2 登陆账户
+
+#### 2.2.1 登陆认证绕过
+
+##### 2.2.1.1 直接访问登陆后的界面
+
+一般登陆界面登陆成功后会进行跳转到主页面，例如：main.php。但是如果没有对其进行校验的话，可以直接访问主页面绕过了登陆认证。
+
+##### 2.2.1.2 前端认证
+
+登陆状态如果只以登陆状态码进行判断登陆成功标识，那么修改登陆状态码就能进行登录。
+
+##### 2.2.1.3 暴力破解
+
+暴力破解，又叫撞库、穷举，使用大量的字典逐个在认证接口尝试登录，理论上，只要字典足够强大，破解总是会成功的。
+撞库：黑客从别的站点获取到用户名和密码，然后用于爆破别的系统。
+阻止暴力破解的最有效方式是设置复杂度高的密码（英文字母大小写、数字、符号混合）并且同时设置验证码使其无法批量提交数据。
+靶场地址：dvwa
+打开 burpsuite 抓包
+输入任意用户名和密码，点击 login
+
+![image-20240420171416733](14.逻辑漏洞/image-20240420171416733.png)
+
+将抓到的包发送到 Intruder 模块
+
+![image-20240420171422339](14.逻辑漏洞/image-20240420171422339.png)
+
+Clear 原来的 tag，选择 Cluster bomb 模式
+
+![image-20240420171427218](14.逻辑漏洞/image-20240420171427218.png)
+
+为 username 和 password 添加 tag
+
+![image-20240420171433746](14.逻辑漏洞/image-20240420171433746.png)
+
+设置 payload，加载字典，设置完成后点击 Start Attack
+
+![image-20240420171438669](14.逻辑漏洞/image-20240420171438669.png)
+
+根据长度判断用户名密码应该是 admin/password
+
+![image-20240420171444655](14.逻辑漏洞/image-20240420171444655.png)
+
+##### 2.2.1.4 身份凭证可伪造
+
+当用户登录后，在服务器就会创建一个会话（session），叫做会话控制，接着访问页面的时候就不用登录，只需要携带对应的 cookie 去访问。如果 cookie、session 等代表用户身份的凭证被设置的过于简单，或者有一定规律，就可以被黑客猜测出来，从而修改、伪造身份。
+靶场地址：DVWA
+Low：cookie 里面有一个 dvwaSession 的字段，点一下 Generate value 就 +1
+
+![image-20240420171449462](14.逻辑漏洞/image-20240420171449462.png)
+
+Medium：dvwaSession 是个时间戳
+
+![image-20240420171454112](14.逻辑漏洞/image-20240420171454112.png)
+
+High：dvwaSession 是经过 md5 加密的，但是过于简单可被破解
+
+![image-20240420171458368](14.逻辑漏洞/image-20240420171458368.png)
+
+![image-20240420171503877](14.逻辑漏洞/image-20240420171503877.png)
+
+#### 2.2.2 验证码
+
+##### 2.2.2.1 图形验证码
+
+###### 2.2.2.1.1 前端可以获取验证码
+
+验证码直接出现在 html 源码中或者隐藏在 Cookie 中，或者验证码使用前端校验
+靶场地址：pikachu
+查看前端 JS 源码，发现验证码是使用的前端 JS 校验，**前端校验等于没有校验**，解法有如下几种：
+
+- 因为验证码是前端校验的，可以抓包删除掉验证码
+
+抓取登录包，发送到 Repeater 模块
+
+![image-20240420171509538](14.逻辑漏洞/image-20240420171509538.png)
+
+删除掉验证码，重放，发现返回包的长度和删除验证码之前是一样的
+
+![image-20240420171514123](14.逻辑漏洞/image-20240420171514123.png)
+
+删除掉验证码，重放
+
+![image-20240420171518931](14.逻辑漏洞/image-20240420171518931.png)
+
+- 直接删除掉 JS 代码或者禁用 JS
+- 
+
+###### 2.2.2.1.2 **图形验证码可识别**
+
+这种验证码由于没有对其做模糊处理，导致可以利用脚本直接识别
+
+1. OCR 识别
+2. xp_CAPTCHA 4.2 - Burp验证码识别插件
+
+免费版：[https://github.com/smxiazi/NEW_xp_CAPTCHA](https://github.com/smxiazi/NEW_xp_CAPTCHA)
+收费版：[https://github.com/smxiazi/xp_CAPTCHA](https://github.com/smxiazi/xp_CAPTCHA)
+
+###### 2.2.2.1.3 验证码重复利用
+
+有的网页只要不刷新，验证码就能重复被利用。通常情况下，系统会比对 session 和用户输入的验证码值,当服务器端受理请求后,没有将上一次保存的 session 及时清空,将会导致验证码可重复使用
+修复建议：当服务器端处理完一次用户提交的请求之后,及时将 session 域中的验证码清除,并生成新的验证码。
+靶场地址：pikachu
+使用 burpsuite 抓包，开启 Intercept
+![image-20240420171523440](14.逻辑漏洞/image-20240420171523440.png)
+
+将抓到的包发送到 Repeater 模块，反复重放，发现返回包长度并没有变化，页面提示也是用户名或密码不存在，猜测验证码可以反复使用
+
+![image-20240420171527313](14.逻辑漏洞/image-20240420171527313.png)
+
+![image-20240420171530979](14.逻辑漏洞/image-20240420171530979.png)
+
+将抓到的包发送到 Intruder 模块进行爆破
+
+![image-20240420171535749](14.逻辑漏洞/image-20240420171535749.png)
+
+跑出密码为 123456
+
+![image-20240420171540106](14.逻辑漏洞/image-20240420171540106.png)
+
+
+##### 2.2.2.2 短信验证码
+
+1. 短信验证码可重复利用
+
+如果服务端未对短信验证码的验证时间/次数进行限制，那么我们就可以利用其进行爆破。
+此处测试方法等同图片验证码的测试
+
+2. 短信验证码与用户未绑定
+
+一般来说短信验证码仅能供自己使用一次，如果验证码和手机号未绑定，那么就可能出现如张三的手机的验证码，李四可以拿来用的情况。
+
+修复建议：
+作为一个安全的短信验证码，他的设计要求应该满足如下几点：
+用户获取的短信验证码只能够供自己使用
+用户短时间内获取的多条短信只有最新的一条能使用
+短信验证码设置为6位数，有效期30分钟甚至更短，当验证码失败3次后失效。
+
+### 2.3 密码找回/修改
+
+找回密码的验证码为四位数字可爆破真实验证码；
+采用本地验证,可以先尝试修改自己的帐号密码，保存正确的返回包，然后修改他人密码的时候替换返回包；
+最终修改密码的数据包，以另外的ID作为身份判断（例如userid），而该ID在别处可以获取到；
+接受验证码的手机号修改为自己的号码，然后输入自己的号码接收到的验证码去进行密码重置；
+获取验证码的时候，会生成一个身份标识（例如cookie值），那么我们就替换他人账号的身份标识重置他人的密码；
+
+#### 2.3.1 找回密码
+
+##### 2.3.1.1 短信找回密码
+
+类似短信验证码可以重复使用，攻击者就可以修改用户的密码。短信验证码未与用户绑定，攻击者可以利用其他用户的包来修改本用户的密码。
+
+##### 2.3.1.2 用户名找回密码
+
+随便输入一个用户他有一个包检验用户是否存在，这里回显了用户全部信息。
+这里的问题在于查询用户处，回显了多余的个人信息。
+
+##### 2.3.1.3 邮箱找回密码
+
+如果邮件中的重置密码链接未使用 token参数让链接具有唯一性，或者是 token 可预测，会导致链接可以直接被猜解访问。重置时验证码过于简单，如纯 4 位数字，则容易遭受验证码被穷举风险。
+
+###### 2.3.1.3.1 cms 实战
+
+靶场地址：semcms
+源码分析
+lnlq_Admin/index.html 文件
+从代码可以看到，当点击登录按钮旁边的链接"如果忘记账号与密码，试试找回？"，时，会执行 js 的 views() 函数，该函数是弹出一个对话框并向SEMCMS_Remail.php?type=find 发送请求，让用户填写要接收重置后密码的邮箱地址
+
+![image-20240420171550365](14.逻辑漏洞/image-20240420171550365.png)
+
+![image-20240420171554600](14.逻辑漏洞/image-20240420171554600.png)
+
+点击确认找回，提交到了这个 URL
+
+```php
+../Include/web_email.php?type=fintpassword
+```
+
+查看找回密码的代码，代码会根据用户输入的 E-mail 地址，查找 sc_user 表，看是否存在使用该 E-mail 地址的用户，如果存在，则随机生成 4 位数的认证码，并将其拼接到一个密码重置链接中，最后以邮件的形式发送给用户。用户点击邮件中的密码重置链接即可；但如果不存在，则弹出对话框，提示“此邮箱不存在！”
+
+![image-20240420171558530](14.逻辑漏洞/image-20240420171558530.png)
+
+认证码是随机的四位纯数字，很容易联想到爆破，但是每次重新进入到这里的时候认证码就会随机生成，难以利用。再回到 index.html 中
+
+![image-20240420171602965](14.逻辑漏洞/image-20240420171602965.png)
+
+当请求参数 type=ok 时，SEMCMS_Remail.php 后面跟的参数 type 也是ok，而前面提到，这种情况下，SEMCMS_Remail.php 会构造另外一个表单，如下：
+
+![image-20240420171606841](14.逻辑漏洞/image-20240420171606841.png)
+
+点击确认找回按钮，数据提交到
+
+```php
+../Include/web_email.php?type=findok
+```
+
+web_email 部分密码找回部分的代码如下
+
+![image-20240420171613007](14.逻辑漏洞/image-20240420171613007.png)
+
+密码是经过 md5 加密后才存入数据库的，但是如果认证码正确就能将密码改掉。尝试使用 burpsuite 爆破这里的认证码从而修改掉密码
+查看数据库，原先的密码是 1234
+
+![image-20240420171622305](14.逻辑漏洞/image-20240420171622305.png)
+
+![image-20240420171628137](14.逻辑漏洞/image-20240420171628137.png)
+
+使用 burpsuite 跑包，抓取重置密码的包，验证码处添加 tag，进行爆破
+
+![image-20240420171632421](14.逻辑漏洞/image-20240420171632421.png)
+
+验证码正确与否，返回包长度和状态码都是一样的
+
+![image-20240420171637829](14.逻辑漏洞/image-20240420171637829.png)
+
+查看数据库，密码已经变成了我们改的数据 11111
+
+![image.png](https://cdn.nlark.com/yuque/0/2023/png/35303923/1691291620874-b1ef8812-0a41-4729-94ed-c3fbb4f32863.png#averageHue=%23ebe6e5&clientId=u360bff62-327d-4&from=paste&height=60&id=u5ae09c58&originHeight=90&originWidth=1519&originalType=binary&ratio=1.5&rotation=0&showTitle=false&size=26989&status=done&style=none&taskId=u511f84bb-170b-4309-9ff8-ccd444bac01&title=&width=1012.6666666666666)
+![image-20240420171642623](14.逻辑漏洞/image-20240420171642623.png)
+
+##### 2.3.1.4 越权修改密码
+
+有时候开发再写代码时，会直接用到某一参数直接调取该参数对应的数据，而再调用时并不考虑当前登陆用户是否有权限调用。这就导致了，可以利用抓该包工具，将传递给后台的数据进行修改，修改后可以查看原本自己没有权限看到内容。
+
+##### 2.3.1.5 修改密码未验证旧密码
+
+修改密码前应该先对用户身份进行再次校验，如验证旧密码。
+
+## 3. 交易
+
+### 3.1 购买
+
+#### 3.1.1 支付逻辑漏洞
+
+##### 3.1.1.1 靶场练习
+
+靶场地址：
+访问 niushop，登录。选择任意一件商品购买，提交订单。
+
+![image-20240420171647789](14.逻辑漏洞/image-20240420171647789.png)
+
+打开 burpsuite，再选择一件商品，开启 intercept 拦截数据包，点击立即购买，将数量改为 0.001
+
+![image-20240420171654898](14.逻辑漏洞/image-20240420171654898.png)
+
+数量真的变成了 0.001，相应价格也变成了 0.1 元
+
+![image-20240420171700237](14.逻辑漏洞/image-20240420171700237.png)
+
+点击提交订单，生成一个价格为 0.1 的订单。点击去支付
+
+![image-20240420171706628](14.逻辑漏洞/image-20240420171706628.png)
+
+记下支付流水号
+
+![image-20240420171710920](14.逻辑漏洞/image-20240420171710920.png)
+回到刚刚第一个数量正常的订单，开启 intercept 拦截数据包，点击去支付
+
+![image-20240420171716977](14.逻辑漏洞/image-20240420171716977.png)
+将此处的支付流水号改为刚刚我们记录下来的流水号
+
+![image-20240420171720892](14.逻辑漏洞/image-20240420171720892.png) 
+放包，发现支付流水号变成了刚刚的，订单金额也变成了 0.1
+
+![image-20240420171725159](14.逻辑漏洞/image-20240420171725159.png)
+
+## 4. 越权
+
+### 4.1 未授权访问
+
+### 4.2 越权访问
+
+该漏洞是指应用在检查授权时存在纰漏，使得攻击者在获得低权限用户账户后，利用一些方式绕过权限检查，访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。越权访问漏洞主要分为水平越权访问和垂直越权访问。
+
+#### 4.2.1 水平越权
+
+定义：水平越权就是相同级别(权限)的用户或者同一角色的不同用户之间，可以越权访问、修改或者删除的非法操作。
+危害：如果出现此类漏洞，那么可能会造成大批量数据泄漏，严重的甚至会造成用户信息被恶意篡改
+挖掘思路：替换鉴权参数，定位出鉴权参数，然后替换为其他账户鉴权参数的方法来发现越权漏洞
+假设用户A和用户B属于同一角色，拥有相同的权限等级，他们能获取自己的私有数据（数据A和数据B），但如果系统只验证了能访问数据的角色，而没有对数据做细分或者校验，导致用户A能访问到用户B的数据（数据B），那么用户A访问数据B的这种行为就叫做水平越权访问。
+
+##### 4.2.1.1 靶场练习
+
+靶场地址：pikachu
+先登录，点击提示有用户名和密码
+
+![image-20240420171731803](14.逻辑漏洞/image-20240420171731803.png)
+
+登录了 lucy 的号，查看个人信息
+
+![image-20240420171736303](14.逻辑漏洞/image-20240420171736303.png)
+
+将名字改成 lili，个人信息也变成 lili 的了
+
+![image-20240420171740888](14.逻辑漏洞/image-20240420171740888.png)
+
+#### 4.2.2 垂直越权
+
+垂直越权是一种“基于URL的访问控制”设计缺陷引起的漏洞，又叫做权限提升攻击。
+由于后台应用没有做权限控制，或仅仅在菜单、按钮上做了权限控制，导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息，就可以访问或控制其他角色拥有的数据或页面，达到权限提升的目的。
+
+##### 4.2.2.1 靶场练习
+
+登录管理员用户
+
+![image-20240420171745378](14.逻辑漏洞/image-20240420171745378.png)
+
+管理员有添加用户功能
+
+![image-20240420171749969](14.逻辑漏洞/image-20240420171749969.png)
+
+尝试添加一个用户
+
+![image-20240420171753827](14.逻辑漏洞/image-20240420171753827.png)
+
+用 burpsuite 抓取添加用户的包并且发送到 repeater
+
+![image-20240420171757804](14.逻辑漏洞/image-20240420171757804.png)
+
+退出管理员用户，登录普通用户，抓取普通用户的 cookie，并且替换刚刚抓取的修改密码的包的对应 cookie 位置
+
+![image-20240420171801890](14.逻辑漏洞/image-20240420171801890.png)
+
+重放
+
+![image-20240420171806743](14.逻辑漏洞/image-20240420171806743.png)
+
+以普通用户身份添加用户成功
+
+![image-20240420171811328](14.逻辑漏洞/image-20240420171811328.png)
+
+##### 4.2.2.2 cms 实战
+
+靶场地址：熊海 cms
+[http://d22.s.iproute.cn/admin/?r=login](http://d22.s.iproute.cn/admin/?r=login)
+
+源码分析，如果 cookie 为空，则跳转到登录页面
+
+![image-20240420171815533](14.逻辑漏洞/image-20240420171815533.png)
+
+访问靶场，右键检查，查看 cookie，此处 cookie 为空，尝试伪造任意一个 cookie
+
+![image-20240420171819588](14.逻辑漏洞/image-20240420171819588.png)
+
+可以直接访问 [http://d22.s.iproute.cn/admin/?r=index](http://d22.s.iproute.cn/admin/?r=index) 读取后台内容
+
+![image-20240420171824110](14.逻辑漏洞/image-20240420171824110.png)
+
+如果将 cookie value 改成 admin，能够以管理员身份访问
+
+![image-20250619150207776](14.逻辑漏洞/image-20250619150207776.png)