1. 项目概述:从“猫鱼”到权限边界的攻防实战
最近在安全圈里,一个叫“catfish”的靶场又火了起来,连带“越权漏洞”这个老生常谈的话题也重新被推到了风口浪尖。很多刚入门Web安全的朋友,一听到“越权”就觉得概念简单,无非就是“不该看的看了,不该改的改了”,但真上手去挖、去复现、去理解其背后的业务逻辑和代码成因时,往往一头雾水。这个“catfish”靶场,恰恰就是一个绝佳的、用于深度剖析水平越权漏洞的实战环境。它不是那种一个点击就弹flag的玩具,而是模拟了真实业务中用户权限体系的脆弱环节,让你能像剥洋葱一样,一层层拆解权限校验缺失的后果。
简单来说,这次我们要聊的,就是如何以“catfish”靶场为蓝本,彻底吃透水平越权漏洞。我会带你从漏洞原理的底层逻辑开始,一步步分析靶场中的权限控制缺陷,并手把手演示攻击链的构造。更重要的是,我会分享在真实渗透测试和代码审计中,寻找这类漏洞的实战思路与排查技巧。无论你是正在打靶场练手的安全新人,还是想巩固Web安全基础的老兵,相信这篇超详细的拆解都能让你对“越权”有全新的、更深刻的认识。我们不止于“怎么做”,更要深究“为什么能这么做”,以及“如何从根源上避免”。
2. 漏洞核心原理与业务逻辑深度拆解
2.1 什么是水平越权?一个经典的业务场景类比
要理解水平越权,我们得先忘掉那些生硬的定义。想象一下,你在一家银行,每个客户都有一个专属的保险柜。银行的前台系统(Web应用)应该只允许你通过自己的钥匙(身份凭证)打开自己的保险柜(访问自己的数据)。水平越权漏洞,就相当于这个系统的柜员犯了个错:他虽然检查了你有没有银行的钥匙(是否登录),但却没仔细核对钥匙上刻的保险柜号码(用户ID)是不是你正要打开的那个。
具体到Web应用里,这个“保险柜号码”通常就是URL参数、POST数据包里的user_id、order_id、document_id这类资源标识符。一个存在水平越权漏洞的查看个人资料功能,其请求可能长这样:GET /api/user/profile?user_id=12345。后端代码的逻辑如果是:“哦,这个请求带了Session,用户是登录状态,那就把user_id=12345的资料返回吧。”——漏洞就产生了。因为后端没有将请求中的user_id(12345)与当前登录用户的真实ID(比如是10001)进行比对。攻击者只需要把user_id参数改成12456、12457……就能遍历查看其他所有用户的隐私资料。
所以,水平越权的本质是权限校验的“纵向通过,横向缺失”。系统通过了身份认证(你是合法用户),但未完成授权校验(你是否是这份数据的主人)。这与垂直越权(普通用户获取管理员权限)有本质区别,水平越权发生在同一权限等级的用户之间。
2.2 Catfish靶场场景模拟:漏洞滋生的典型温床
“Catfish”靶场之所以成为学习水平越权的经典,是因为它精心构建了一个非常贴近现实的业务场景——一个简易的用户中心或订单管理系统。这类系统通常包含以下功能模块,也正是漏洞的高发区:
- 用户信息管理:查看/编辑个人资料、修改密码、查看我的订单/文章。
- 基于ID的资源访问:通过
id参数直接获取或修改某条具体记录。
靶场通常会模拟这样的代码逻辑:在处理诸如/user.php?action=view&id=1这样的请求时,后端脚本user.php可能只验证了用户是否登录(isset($_SESSION['username'])),然后就直接执行了SQL查询:SELECT * FROM users WHERE id = $_GET['id']。这里缺失了最关键的一步:AND id = $_SESSION['user_id']。攻击者只需修改URL中的id值,就能实现跨用户数据访问。
注意:在实际靶场或测试中,
id参数可能不那么明显,它可能是数字,也可能是经过编码或哈希的字符串,但原理不变:任何由客户端可控、用于指定唯一资源的标识符,在没有与当前会话身份绑定的情况下被使用,都是潜在的风险点。
2.3 从参数到数据库:漏洞触发链路全景分析
一次完整的水平越权攻击,其链路贯穿前后端。我们以“查看他人订单详情”为例,拆解整个流程:
- 前端交互:用户A登录后,在“我的订单”列表点击某个订单。前端JS会构造请求,例如:
GET /order/detail?order_no=ORD20230001A。 - 请求发起:浏览器将包含Session Cookie和参数
order_no=ORD20230001A的请求发送至服务器。 - 后端处理(漏洞点):
- 接收请求,从Cookie中解析Session,确认当前登录用户为A(user_id=1001)。
- 获取参数
order_no。 - 【致命缺失】:直接拼接SQL查询:
SELECT * FROM orders WHERE order_no = 'ORD20230001A'。或者,先从数据库查出订单信息,然后没有检查查出来的订单所属用户owner_id是否等于1001。 - 将查询结果(订单详情)返回给前端。
- 攻击者操作:用户A通过浏览器插件抓包,获取该请求。他将参数修改为
order_no=ORD20230001B(这是用户B的订单号),重新发送请求。 - 漏洞触发:后端重复第3步流程,由于缺乏校验,它成功查询并返回了属于用户B的订单详情。水平越权达成。
这个链路清晰表明,漏洞的核心责任在于服务端业务逻辑。无论前端如何隐藏、混淆ID,只要最终决定数据访问权限的判断逻辑放在后端且存在缺陷,漏洞就无法避免。
3. Catfish靶场实战:漏洞挖掘与利用详解
3.1 环境搭建与初步侦察
首先,你需要一个“catfish”靶场环境。通常它可能是一个Docker镜像或PHP源码包。部署成功后,我们第一步不是盲目测试,而是进行侦察,理解应用的功能结构。
- 用户注册与登录:创建两个测试账号,例如:
userA(密码: 123456) 和userB(密码: 123456)。这模拟了两个同等权限的普通用户。 - 功能点枚举:以
userA身份登录后,点击所有可点击的链接。重点关注:- 个人中心(修改资料、头像、密码)。
- “我的xxx”列表(我的帖子、我的订单、我的收货地址)。
- 点击列表中的具体条目进入详情页或编辑页。
- 流量抓取:开启浏览器开发者工具(F12)的Network(网络)面板,并勾选“Preserve log”(保留日志)。重复步骤2的所有操作,观察浏览器发起了哪些HTTP请求。特别关注:
- 请求URL(尤其是包含
id,user_id,uid,docid等参数的)。 - 请求方法(GET还是POST)。
- POST请求的请求体(Payload)。
- 请求URL(尤其是包含
3.2 关键参数识别与操纵
在抓取的流量中,寻找那些指向特定资源的请求。例如,在“我的文章”列表里,点击标题进入文章详情页,你可能会看到这样一个请求:
GET /article.php?action=view&article_id=5或者一个更RESTful风格的API请求:
GET /api/v1/users/1001/profile攻击思路:登录userA账号,访问属于A的资源(如article_id=5),确保能正常看到。然后,保持登录状态(Session有效),直接在浏览器地址栏或使用Burp Suite等工具,修改参数值。
- 场景一:修改数字ID。将
article_id=5改为article_id=6。刷新页面。如果显示了另一篇文章的内容,而这篇内容在userA的列表里并不存在,那么极有可能发生了水平越权,你看到了userB或其他用户的文章。 - 场景二:修改资源路径中的ID。对于
/api/v1/users/1001/profile,将1001改为1002。如果返回了userB的个人资料信息,漏洞存在。
实操心得:不要只测试相邻ID。有时开发者会通过奇偶、范围等方式做简单过滤(虽然不安全)。可以尝试跳跃式修改,如从5改为100、1000。同时,注意观察返回的数据格式。即使页面没有直接显示目标数据,但API接口可能返回了JSON数据,其中包含了敏感信息,这也属于信息泄露式越权。
3.3 使用Burp Suite进行高效测试
手动修改URL适用于简单场景,但高效、批量的测试离不开专业工具。这里以Burp Suite为例:
- 配置代理:浏览器设置代理指向Burp(如127.0.0.1:8080)。
- 拦截请求:在Burp的
Proxy->Intercept标签页,确保拦截开启。在浏览器中触发一个带ID参数的请求(如查看某条订单)。 - 发送到重放模块:在
Intercept页面看到请求后,点击Action,选择Send to Repeater。 - 在Repeater中测试:
- 在
Repeater标签页,你会看到捕获的请求。 - 找到目标参数(如
order_id=101),将其修改为其他值(如order_id=102)。 - 点击
Send按钮发送请求。 - 观察右侧响应体。对比与原始请求(
order_id=101)响应的差异。如果两者都能成功返回数据,且数据结构相似但内容不同(如收货人、商品信息不同),则漏洞确认。
- 在
- 使用Intruder进行批量探测:
- 对于可能存在漏洞的请求,在
Proxy历史或Repeater中,右键选择Send to Intruder。 - 在
Intruder->Positions标签,Burp通常会自动标记参数。确认order_id等参数被标记为攻击点(如§101§)。 - 在
Payloads标签,设置Payload类型。例如,使用Numbers类型,生成从1到1000,步长为1的数字序列。 - 在
Options标签,可以设置Grep-Match来标记包含特定关键词(如“地址”、“手机号”)的响应,便于快速识别成功请求。 - 开始攻击。Intruder会自动化替换
order_id并发送请求。你只需在结果列表中,通过状态码、响应长度以及Grep匹配结果,快速筛选出那些“本应失败却成功返回了数据”的请求,这些对应的order_id就属于其他用户。
- 对于可能存在漏洞的请求,在
3.4 绕过常见的前端防御假象
有时,前端会做一些看似“安全”的处理,给新手造成迷惑:
- 隐藏字段:编辑个人信息时,表单里可能有一个
<input type="hidden" name="user_id" value="1001">。新手可能觉得这个值用户改不了。实际上,通过Burp拦截提交的POST请求,可以直接修改这个user_id的值。 - 下拉框禁用:前端JS可能根据登录信息禁用下拉框或填充数据,但提交到服务器的参数依然可控。
- 非直接ID参数:参数名可能不是简单的
id,而是key、hash、token等。你需要分析这个值的生成规律。例如,它可能是md5(user_id + salt)。如果你能注册大量用户,观察自己不同账号下该参数的变化,或许能推断出算法,从而构造其他用户的参数。在靶场中,这种设计往往是为了增加难度,但原理仍是校验是否在服务端完成。
核心准则:永远不要相信客户端传来的任何用于权限判定的标识符。你的测试重点必须放在服务端逻辑是否对“请求者”和“资源所有者”进行了强关联校验上。
4. 漏洞挖掘的进阶思路与技巧
4.1 不限于“增删改查”:功能逻辑越权
水平越权不仅发生在数据的“读”(查看)操作上,“写”(修改、删除)操作同样高危,且危害更大。
- 修改信息:如修改收货地址、绑定手机号、修改密保问题。测试方法:用
userA抓取修改自己信息的请求包,将其中标识资源的参数(如address_id)替换为userB的地址ID,然后提交。如果修改成功,即造成了userB信息的篡改。 - 状态操作:例如,在一个工单系统中,“关闭”自己提交的工单。尝试用
userA的请求去关闭userB的工单。 - 关联操作:例如,在一个社交应用中,“关注”某个用户。这个操作通常需要传递
target_user_id。检查在关注请求中,是否可以任意修改target_user_id来实现强制关注或取消关注他人(虽然关注他人通常允许,但某些敏感场景如黑名单、特别关注可能需要校验关系)。
测试时,要关注应用的所有状态变更点。每一个“动作”背后,都可能对应着一个API调用,而这个调用可能需要资源标识符。
4.2 参数污染与间接引用
有时候,漏洞点不那么直接。
- 二次参数引用:请求参数
A不直接用于查询,而是用于查询另一张表得到B,再用B去查询目标数据。如果第一步查询没有校验A的归属,那么通过控制A就能间接控制B,最终导致越权。这需要一定的代码推理或黑盒模糊测试。 - 文件路径遍历:用户上传头像后,查看头像的链接可能是
/uploads/avatar/1001.jpg。尝试将1001.jpg改为1002.jpg,如果能看到userB的头像,这也是一种水平越权(信息泄露)。虽然通常归类到目录遍历,但其权限绕过本质是相通的。 - JSON/XML参数:在POST请求的JSON体或XML中寻找ID字段。例如:
这个{"action": "update_email", "new_email": "new@mail.com", "user_token": "abc123"}user_token如果对应着某个用户,且服务端仅通过它来识别用户而未与当前会话绑定,修改它就可能更新其他用户的邮箱。
4.3 工具链辅助与自动化识别
除了Burp Suite,其他工具也能提升效率:
- 浏览器插件:如
EditThisCookie可以方便地管理和切换Session,便于快速在userA和userB身份间切换验证。 - 自定义脚本:对于需要大量遍历的测试(如订单号不是简单数字,而是有一定规律的字符串),可以编写Python脚本,结合Requests库自动化发送请求并分析响应。
- 被动扫描:Burp Suite的
Scanner或Auditor插件可以在你浏览过程中,自动标记那些包含ID参数的请求,并提示可能存在IDOR漏洞(不安全的直接对象引用,OWASP对这类漏洞的统称)。
5. 防御方案设计与代码审计视角
5.1 根本解决方案:服务端强制校验
所有防御都必须建立在“不信任客户端输入”的原则上。最有效、最根本的方案是在每一次涉及用户资源访问的数据层操作前,加入权限校验逻辑。
伪代码示例(正确做法):
// 获取当前登录用户ID $current_user_id = $_SESSION['user_id']; // 获取客户端请求的资源ID $requested_order_id = $_GET['order_id']; // 首先,查询订单,并明确指定订单所属用户 $sql = "SELECT * FROM orders WHERE id = ? AND user_id = ?"; $stmt = $pdo->prepare($sql); $stmt->execute([$requested_order_id, $current_user_id]); $order = $stmt->fetch(PDO::FETCH_ASSOC); // 然后进行判断 if (!$order) { // 订单不存在,或者订单不属于当前用户 die('无权访问或资源不存在'); // 应返回统一的错误页面或JSON消息 } // 订单存在且属于当前用户,继续后续业务逻辑... echo json_encode($order);关键点:将权限校验(AND user_id = ?)与数据查询在同一个数据库操作中原子化完成。避免先查出数据,再在代码里用if($order['user_id'] != $current_user_id)判断,因为那样在查出数据到判断的极短间隙里,数据已经被加载到内存中,虽然最终不会返回给用户,但可能在某些复杂逻辑中引发意外。
5.2 权限验证中间件与框架最佳实践
在成熟的MVC框架(如Laravel, Spring Security)中,应利用其提供的权限验证机制。
Laravel (Policy):为资源模型(如
Order)定义策略(Policy),在控制器方法前使用authorize方法。// OrderPolicy.php public function view(User $user, Order $order) { return $user->id === $order->user_id; } // OrderController.php public function show(Order $order) // 路由模型绑定会自动注入Order实例 { $this->authorize('view', $order); // 自动执行Policy检查 return view('order.show', ['order' => $order]); }如果用户无权,框架会自动抛出403异常。
Spring Security (Method Security):使用
@PreAuthorize注解,支持SpEL表达式。@GetMapping("/orders/{orderId}") @PreAuthorize("@orderService.canAccess(#orderId, principal.username)") public Order getOrder(@PathVariable Long orderId) { // 能执行到这里,说明已经通过权限检查 return orderService.findById(orderId); }在
orderService中实现canAccess方法,完成业务逻辑校验。
核心思想:将权限检查逻辑集中化、声明化,避免在每一个业务方法里散落着重复的校验代码,减少遗漏的可能。
5.3 代码审计中如何快速定位漏洞点
如果你是开发者或安全审计人员,在审查代码时,可以按以下模式快速筛查:
- 寻找数据查询函数:搜索
SELECT,find,get,load,query等关键词。 - 追踪参数来源:查看查询条件中的变量(特别是WHERE子句中的条件)是否直接来源于用户输入(
$_GET,$_POST,$_REQUEST)。 - 检查校验逻辑:在查询语句的上方,寻找是否对“当前用户”与“请求资源”的归属关系进行了判断。如果没有,或者判断逻辑存在缺陷(如先查询后判断),则标记为可疑点。
- 关注ORM操作:对于使用ORM(如Eloquent, Hibernate)的代码,查看
find($id),findOrFail($id)等方法调用后,是否立即跟进了权限校验。ORM的便捷性有时会让开发者忘记手动加入where('user_id', $currentUserId)这样的约束。 - 审查API路由:查看RESTful API的路由定义,如
PUT /users/{id},对应的控制器方法是否接收了id参数。这个id是否被直接用于模型操作而未经验证。
5.4 业务设计层面的补充防御
除了代码层面的校验,业务设计也能增加攻击难度:
- 使用不可预测的标识符:避免使用自增整数ID,改用UUID、雪花算法ID或经过加密的Token作为资源标识符。这无法从根本上防止越权(因为校验逻辑才是根本),但可以大幅增加攻击者猜测和遍历有效ID的难度。
- 记录详细日志:对所有数据访问请求,尤其是修改操作,记录“谁(user_id)在什么时间(timestamp)尝试访问/修改了哪个资源(resource_id, resource_type)”。当发生水平越权攻击时,日志可以提供追溯依据。异常的访问模式(如一个用户短时间内访问了大量非连续的、其他用户的资源ID)可以通过监控系统告警。
- 权限最小化:前端根据用户权限动态渲染界面(如只显示“我的订单”按钮)是良好的用户体验,但绝不能作为安全依据。后端必须对每一个业务接口实施独立的、完整的权限校验。
6. 实战问题排查与疑难场景解析
6.1 遇到“验证码”或“Token”拦截怎么办?
在一些敏感操作(如修改密码、支付)时,应用可能会引入一次性Token或验证码。
- CSRF Token:这通常是为了防止跨站请求伪造,与水平越权无关。你可以在一次会话中,先正常获取一个有效的CSRF Token(通常藏在表单里或通过特定API返回),然后在构造越权请求时带上这个Token。只要你的攻击请求是从同一浏览器会话发起的,CSRF Token就是有效的。
- 操作验证码:如果修改他人信息时需要输入验证码,而验证码发送到了目标用户的手机或邮箱,那么直接越权修改通常无法完成。但这不代表漏洞不存在。漏洞点转移了:可能存在一个“绑定手机/邮箱”的功能,而这个功能本身存在水平越权,允许攻击者将受害者的账户绑定到自己的手机号上,从而为后续攻击铺路。因此,测试要全面。
6.2 响应状态码都是200,如何判断是否越权成功?
这是黑盒测试中常见的问题。攻击者修改ID后,服务器返回了200状态码,但页面内容可能显示“资源不存在”、“无权访问”或跳转到首页。
- 对比响应长度:使用Burp Suite的
Comparer工具,对比正常访问自己资源的响应包和尝试访问他人资源的响应包。即使状态码相同,响应体长度(Content-Length)或具体内容通常会有细微差别。 - 搜索敏感信息:在响应体中搜索可能属于其他用户的独特信息,如用户名、邮箱片段、手机号后四位等。
- 关注差异化内容:如果应用返回了JSON数据,直接对比JSON结构。有时,越权访问返回的数据结构可能相同,但某些字段(如
is_owner: false)或数据内容不同。 - 时间差攻击(盲测):在极端情况下,服务器对有权和无权访问的处理逻辑可能完全一样,都返回“成功”但无数据。这时可以尝试“基于时间的盲注”思路:构造一个请求,使其在越权成功时触发一个耗时的操作(如关联查询一个非常大的表)。通过比较响应时间的显著差异,来推断权限校验结果。但这需要深入了解业务逻辑,难度较高。
6.3 水平越权与垂直越权、业务逻辑漏洞的边界
这几个概念有时会交织。
- 水平 vs 垂直:核心区别在于权限是否升级。水平是同级用户间的横向跨越,垂直是向更高权限角色的纵向提升。例如,普通用户能访问管理员后台,这是垂直越权。
- 水平越权 vs 业务逻辑漏洞:很多业务逻辑漏洞表现为一种“非常规”的越权。例如,在一个抽奖活动中,规则是“每个用户ID只能抽一次奖”。如果校验逻辑是检查“当前用户ID是否已存在于中奖记录表”,那么攻击者通过修改请求中的
user_id参数,就可以冒充其他用户抽奖,消耗他人的抽奖机会。这本质上还是水平越权(操纵了标识其他用户的参数),但发生在特定的业务规则下。所以,在测试时,思维要打开,任何由用户可控的、能影响业务状态或数据归属的参数,都是测试对象。
6.4 漏洞报告撰写要点
当你发现一个水平越权漏洞后,清晰专业的报告至关重要。
- 标题:简明扼要,如“[水平越权] 通过修改
order_id参数可查看任意用户订单详情”。 - 风险等级:通常定为“中危”或“高危”,取决于可操作的数据敏感性(查看个人信息为中危,篡改密码、地址为高危)。
- 详细复现步骤:
- 前提:注册两个账号A和B。
- 步骤1:用A账号登录,进入订单列表,点击某个订单(ID: 100)。
- 步骤2:抓包,获取请求
GET /api/order/detail?order_id=100。 - 步骤3:在Repeater中修改
order_id=101(已知为B用户的订单),发送请求。 - 步骤4:观察响应,成功返回B用户的订单详情(附截图)。
- 请求与响应数据:提供原始的HTTP请求和响应包(可脱敏关键信息)。
- 漏洞原理:简要分析,指出服务端未校验当前登录用户与
order_id所指向资源的归属关系。 - 修复建议:参考上文,建议在数据查询时强制关联当前用户ID。
我个人在多年的渗透测试中发现,水平越权漏洞的修复往往不是技术难题,而是意识问题。很多开发者在实现“我的xx”这类功能时,潜意识里认为“既然页面链接只展示给登录用户,且链接里的ID也是从自己列表里点的,那肯定是自己的”,从而忽略了服务端的二次校验。作为安全人员,我们需要不断提醒团队:前端的一切都是装饰,后端的校验才是堡垒。每一次对用户资源的访问,都必须经过“你是谁?”和“这是你的吗?”的灵魂拷问。把这个观念植入开发流程,比事后修复无数个漏洞要有效得多。
