Webug靶场实战：深入理解水平与垂直越权漏洞的原理、复现与防御

1. 项目概述：从靶场实战理解越权漏洞的本质

在安全测试和渗透测试的学习过程中，我们经常会听到“越权漏洞”这个词。它不像SQL注入或XSS那样有直观的攻击载荷，更像是一种业务逻辑上的“错位”，攻击者利用这种错位，访问到了本不该属于自己的数据或功能。今天，我就以Webug这个经典的靶场环境为例，带大家亲手复现水平越权和垂直越权这两种最常见的越权漏洞。这不仅仅是点几个按钮、看几个页面那么简单，我会把每一步操作背后的逻辑、靶场的设计思路、以及在实际业务中如何发现和防御这类漏洞，都掰开揉碎了讲清楚。

Webug靶场本身就是一个为Web安全学习而设计的漏洞集成环境，里面的漏洞场景都模拟了真实的开发错误。复现它的越权漏洞，能让我们最直观地理解：一个正常的权限校验流程是如何被绕过的，开发者在编码时又容易在哪些环节“挖坑”。无论你是刚入门的安全爱好者，还是想巩固基础的开发人员，跟着走完这一趟，你都能对权限控制这个核心安全机制有脱胎换骨的认识。我们不仅要会“复现”，更要明白“为什么能复现”，以及“如何避免被复现”。

2. 漏洞原理深度剖析：权限体系的崩溃点

在动手之前，我们必须把理论地基打牢。很多人知道越权分水平和垂直，但对其区别和危害的理解可能停留在表面。

2.1 水平越权：同级别用户的“串门”

水平越权，也叫作“访问控制缺失”。想象一下，在一个公司里，所有同级员工理论上只能查看和处理自己的工资条。但如果系统在设计时，仅仅在页面上隐藏了查看他人工资条的链接，而没有在后台接口对访问者的身份和所要访问的数据ID进行强制绑定校验，那么问题就来了。

攻击者（同样是员工A）通过修改浏览器地址栏的URL参数，比如把查询自己工资的请求http://example.com/salary?id=1001（1001是A的ID）中的id参数改成1002，如果服务器端没有严格校验“当前登录用户A是否有权查看ID为1002的数据”，那么服务器就可能直接把员工B的工资信息返回给A。这就是一次典型的水平越权。

它的核心漏洞点在于：服务器端在处理数据请求时，过度信任客户端传来的用户标识（如用户ID、订单号），没有二次确认该标识是否与当前登录用户的会话身份匹配。攻击者无需提升权限，只需枚举或猜测其他同权限用户的资源标识符，就能实现“横向”的数据窃取。

2.2 垂直越权：普通用户的“僭越”

垂直越权，则是一种“权限提升”漏洞。还用公司的例子，普通员工只能访问员工门户，而管理员可以访问后台管理页面。垂直越权发生时，一个普通员工通过某种方式，访问到了本该只有管理员才能看到的功能或页面。

这种漏洞的产生往往更加危险，因为它可能源于：

1. 前端菜单隐藏而非后端权限校验：管理员功能的链接/按钮只是通过前端CSS（display: none）或JavaScript对普通用户隐藏，但其对应的URL接口依然可以被直接访问。
2. 脆弱的路径或参数鉴权：管理功能位于/admin/目录下，但服务器没有配置该目录的访问控制列表（ACL），或者鉴权逻辑存在缺陷，导致普通用户会话也能通过。
3. 功能权限与角色绑定错误：在权限配置系统中，某个高危功能（如“删除所有用户”）错误地关联到了普通用户角色上。

垂直越权一旦被利用，攻击者就能执行远超其身份的操作，比如篡改网站内容、查看所有用户数据、甚至获取服务器控制权。

2.3 Webug靶场的设计意图

Webug靶场巧妙地将这些漏洞原理具象化成了一个个可交互的关卡。它通常会构建两个用户：一个普通用户（如test/test），一个管理员用户（如admin/admin），并设计一些存在缺陷的功能点。我们的任务，就是利用这些缺陷，以普通用户身份完成越权操作。通过复现，我们能深刻体会到，一个看似正常的“查看详情”或“功能入口”，背后缺失了哪一环关键的校验代码。

注意：所有复现操作务必在本地搭建的靶场或授权的测试环境中进行。未经授权对任何线上系统进行测试均属违法行为。

3. 环境准备与靶场搭建

工欲善其事，必先利其器。稳定的复现环境是成功的第一步。

3.1 靶场部署方案选择

Webug靶场通常以PHP+MySQL的Web应用形式提供。你有两种主流的选择：

1. 集成环境一键部署（推荐新手）：

   • 工具：使用PHPStudy、XAMPP、WAMP等集成软件包。
   • 优点：无需单独配置Apache、PHP、MySQL，解压即用，省去大量环境配置的麻烦。
   • 操作：下载Webug的源码压缩包，解压到集成环境的WWW根目录（如PHPStudy的www目录），然后通过集成环境的管理界面启动Apache和MySQL服务。

2. 手动环境配置：

   • 适用场景：你希望更清晰地了解每个组件的作用，或者已有现成的Web服务器环境。
   • 步骤：需要独立安装并配置Apache/Nginx、PHP运行时、MySQL数据库，然后将Webug源码放置到Web服务器的虚拟主机或站点目录下，并确保PHP模块已正确加载。

3.2 Webug靶场初始化详解

假设我们使用PHPStudy进行部署：

1. 启动PHPStudy，确保Apache和MySQL服务显示为绿色（已启动）。
2. 将下载的webug文件夹解压到PHPStudy安装目录\PHPTutorial\WWW\下。
3. 打开浏览器，访问http://localhost/webug（具体路径取决于你的文件夹名）。
4. 首次访问通常会进入安装或初始化页面。根据页面提示，可能需要你配置数据库连接信息。
   • 数据库地址：一般为localhost或127.0.0.1。
   • 数据库用户名/密码：PHPStudy默认的MySQL用户名是root，密码是root（请以你的实际配置为准）。
   • 数据库名：可以新建一个，如webug_db。
5. 按照安装向导完成数据库的初始化（创建数据表、插入默认数据，如测试用户账号）。
6. 安装完成后，使用页面上提供的默认账号（例如test/test,admin/admin）进行登录。

实操心得：在初始化数据库时，务必记录下成功创建的用户名和密码，这是后续测试的钥匙。如果安装失败，最常见的原因是数据库连接信息错误或PHP版本不兼容。Webug作为老牌靶场，可能对PHP 5.x系列支持更好，如果使用PHP 7+，遇到报错可以尝试调整php.ini中的错误报告级别，或搜索特定错误代码的解决方案。

3.3 测试工具与浏览器准备

1. 浏览器：强烈推荐使用Chrome或Firefox，因为它们内置了强大的开发者工具。
2. 开发者工具：这是我们的“显微镜”和“手术刀”。主要用到两个面板：
   • 网络（Network）：记录所有HTTP请求和响应，用于分析数据包，查看请求参数和服务器返回结果。
   • 应用程序（Application）：查看和修改Cookies、本地存储（Local Storage）、会话存储（Session Storage），这对于理解会话管理至关重要。
3. 代理工具（可选但推荐）：如Burp Suite或OWASP ZAP。它们能拦截、查看、修改和重放浏览器与服务器之间的所有流量，对于深入分析漏洞和构造复杂攻击Payload非常有用。对于本次复现，浏览器开发者工具已足够，但掌握代理工具是安全测试的必修课。

4. 水平越权漏洞复现实战

现在，让我们进入实战环节。假设Webug靶场中有一个“查看个人信息”或“查看我的订单”之类的功能。

4.1 漏洞场景定位与正常流程分析

首先，我们用普通用户test登录。

1. 登录后，找到例如“查看我的资料”或“订单列表”的链接，点击进入。
2. 假设打开的URL是：http://localhost/webug/user/profile.php?id=1。页面显示了用户test的详细信息。
3. 关键分析：注意URL中的参数id=1。这个“1”很可能就是当前用户test在数据库中的用户ID（UID）。在正常情况下，这个页面应该只返回UID为1的用户信息。

4.2 漏洞利用与验证

水平越权的验证非常简单直接，就是尝试修改这个ID参数。

1. 在浏览器地址栏，将URL中的id=1修改为id=2，然后按回车键。
2. 观察结果：
   • 漏洞存在：如果页面刷新后，显示了另一个用户（可能是admin或其他测试用户）的详细信息，而你没有被踢出登录或收到权限错误提示，那么水平越权漏洞就实锤了。服务器没有校验“当前会话用户是否为ID=2的用户”。
   • 漏洞不存在：如果页面返回错误（如“无权访问”）、跳转到登录页、或显示的内容依然是用户test自己的（说明后端用了会话中的UID覆盖了参数），则说明此处权限控制是有效的。

4.3 深入利用与数据遍历

如果漏洞存在，其危害可以进一步扩大：

1. 数据枚举：通过自动化脚本或手动将id参数依次改为1,2,3,4...，可以遍历并窃取系统中所有用户的敏感信息。
2. 结合其他漏洞：如果这个信息查看页面还存在XSS漏洞，那么攻击者可以将构造好的URL（包含XSS Payload和越权ID）发送给受害者，当受害者（可能是管理员）点击时，就会在其上下文中执行脚本，可能导致更严重的后果。

注意事项：在测试时，修改参数的行为要符合道德。在真实环境中，这种枚举操作会产生大量日志，极易被入侵检测系统（IDS）或Web应用防火墙（WAF）发现。一些更隐蔽的方式包括使用时间盲注的逻辑，通过响应时间的差异来判断ID是否存在，但这属于更高级的技巧。

4.4 漏洞根因与修复方案

根因：后端PHP代码可能如下所示（极度简化的错误示例）：

// profile.php $user_id = $_GET[‘id’]; // 直接信任用户输入 $sql = “SELECT * FROM users WHERE id = ‘$user_id’“; $result = mysqli_query($conn, $sql); $user_info = mysqli_fetch_assoc($result); // 直接将查询结果显示出来，没有检查 $user_info[‘id’] 是否等于 $_SESSION[‘current_user_id’] display($user_info);

修复方案：

1. 强制会话校验：在处理请求时，优先从用户会话（$_SESSION）中获取当前登录用户的UID，并用这个UID去查询数据库。

   $current_uid = $_SESSION[‘user_id’]; $sql = “SELECT * FROM users WHERE id = ‘$current_uid’“;

2. 二次验证：如果业务必须通过参数传递ID（如管理员查看特定用户），则必须在查询后，增加一道验证逻辑：判断当前登录用户的角色是否有权查看目标ID的数据。例如，普通用户只能查看自己的。

   if ($user_info[‘id’] != $_SESSION[‘user_id’] && $_SESSION[‘role’] != ‘admin’) { die(‘Access Denied!’); }

5. 垂直越权漏洞复现实战

垂直越权的复现通常需要一点“探索”精神，因为管理功能可能不会直接展示给你。

5.1 寻找隐藏的管理入口

使用普通用户test登录后。

1. 查看页面源码：在页面上右键点击，选择“查看网页源代码”。搜索诸如admin、manage、delete、editall等关键词，看看是否有被注释掉或通过style=”display:none;”隐藏的管理链接。
2. 分析JavaScript文件：在开发者工具的“源代码（Sources）”面板中，查看加载的JS文件，可能包含动态生成管理菜单的逻辑，但权限判断有误。
3. 猜测常见路径：直接在浏览器地址栏尝试访问一些常见的后台路径，如：
   • http://localhost/webug/admin/
   • http://localhost/webug/admin/index.php
   • http://localhost/webug/manage.php
   • http://localhost/webug/backend/

5.2 利用未授权访问或功能引用

假设我们通过猜测，访问http://localhost/webug/admin/userlist.php竟然成功了，看到了所有用户的列表。这就是一个典型的目录或文件未做权限校验的垂直越权。

更复杂一点的场景可能存在于功能参数中。例如，普通用户有一个“编辑个人头像”的功能，对应action=upload_avatar。而管理员有一个“编辑系统配置”的功能，对应action=update_config。如果后端根据action参数值来执行相应函数，但没有严格校验执行该action所需的用户权限等级，那么普通用户直接构造请求，将action参数改为update_config并提交，就可能触发垂直越权。

5.3 使用代理工具进行深度测试

以Burp Suite为例，进行更专业的测试：

1. 配置浏览器代理指向Burp。
2. 用普通用户身份登录，浏览网站的所有功能。
3. 在Burp的“代理（Proxy）”-“历史记录（History）”中，你会看到所有请求。重点关注那些包含“增删改查”操作的POST或GET请求。
4. 寻找可能代表权限的参数，如role=user、type=normal、isAdmin=0等。
5. 将这些参数修改为高权限的值（如role=admin、isAdmin=1），然后使用Burp的“重放（Repeater）”功能发送修改后的请求，观察服务器的响应。如果返回了成功执行管理操作的信息，则漏洞存在。

5.4 漏洞根因与修复方案

根因：权限校验的代码被放在了错误的位置或直接缺失。

1. 入口文件缺失全局校验：admin/目录下的index.php开头没有包含权限检查文件。
2. 功能函数缺乏权限判断：每个敏感功能函数内部，没有首先判断调用者的角色或权限位。

修复方案：

1. 统一的入口鉴权：在所有管理页面的入口文件（或通过.htaccess、Web服务器配置）强制进行身份和角色验证。

   // admin/index.php 顶部 session_start(); if (!isset($_SESSION[‘user_id’]) || $_SESSION[‘role’] != ‘admin’) { header(‘Location: /login.php’); exit(); }

2. 基于角色的访问控制（RBAC）：实现一个完善的RBAC系统。为每个功能分配一个权限点，为用户分配角色，为角色分配权限点。在执行任何敏感操作前，检查当前用户是否拥有该操作的权限点。
3. 最小权限原则：默认拒绝所有请求，只为已验证的用户显式地授予必要的权限。

6. 漏洞挖掘思路与技巧扩展

复现已知漏洞是学习的第一步，但更重要的是培养在未知系统中发现漏洞的能力。

6.1 黑盒测试下的越权探测

当你面对一个全新的系统时，可以遵循以下流程：

1. 枚举用户与资源：首先注册两个测试账号，UserA和UserB。用UserA创建一些资源（如订单、博客、私信）。
2. 记录正常请求：使用UserA执行所有可能操作，同时用代理工具（如Burp Suite）记录下每一个HTTP请求，特别是包含资源ID（订单号、文章ID、用户UID）的请求。
3. 切换上下文并重放：退出UserA，登录UserB。将步骤2中记录的UserA的请求，修改其中的资源ID为UserA的资源ID，然后重放。观察是否能以UserB的身份操作UserA的资源（水平越权）。
4. 探索隐藏接口：使用目录扫描工具（如DirBuster、gobuster）扫描网站，寻找隐藏的管理员或API接口。对于发现的接口，用普通用户身份尝试访问。
5. 参数污染与篡改：对每一个请求参数都保持怀疑。尝试修改所有看似标识身份、角色、权限的参数值。

6.2 白盒/灰盒测试下的代码审计

如果你能接触到源代码（灰盒），效率将大大提高。

1. 搜索关键函数：在代码中全局搜索处理用户标识的函数或变量，如$_GET[‘id’]、$_POST[‘uid’]、$_REQUEST[‘userid’]。
2. 跟踪数据流：找到这些用户输入被接收的地方，然后跟踪它们是如何被使用的。它们是否直接被拼接到SQL查询中？是否用于从数据库获取数据？
3. 定位权限校验点：搜索诸如checkPermission、isAdmin、validateRole这样的函数调用。查看这些校验函数是否在每一个敏感操作前都被调用，以及校验逻辑是否严密（是否只在前端校验？）。
4. 关注控制器路由：在现代MVC框架中，关注路由定义和控制器方法。检查每个需要权限的路由，其对应的控制器方法开头是否有类似@PreAuthorize(“hasRole(‘ADMIN’)”)的注解或权限判断语句。

6.3 常见易漏点清单

以下是一些开发中极易忽略，导致越权漏洞的经典场景：

• 直接对象引用（IDOR）：通过修改URL、表单或API请求中的对象ID来访问其他对象。这是水平越权最主要的形式。
• 多阶段功能中的权限校验断裂：一个操作分多个步骤（如1.选择商品，2.填写地址，3.支付）。如果在第2步校验了权限，但在第3步仅依赖第2步传来的隐藏参数而不再校验，就可能被绕过。
• API接口权限继承错误：移动端API和Web端共享同一套后端接口，但移动端设计时简化了权限模型，导致Web端可利用此缺陷。
• 基于“隐藏”的安全：认为只要不把链接/按钮展示给用户，他就找不到。这是最危险的错误观念。

7. 防御体系构建：从编码到运维

修复一两个漏洞点治标不治本，我们需要建立体系化的防御。

7.1 设计阶段的原则

• 最小权限原则：每个用户、进程或程序只应拥有完成其任务所必需的最小权限。
• 默认拒绝原则：所有访问请求在明确被允许之前，都应该是被拒绝的。
• 权限与角色分离：使用RBAC模型，将“用户-角色-权限”分离，便于管理和审计。

7.2 编码实现的最佳实践

1. 使用统一的权限检查中间件/过滤器：在所有请求到达业务逻辑之前，通过一个统一的网关进行身份认证和权限校验。在Spring框架中可以使用拦截器（Interceptor），在Laravel中使用中间件（Middleware）。
2. 后端始终是权威：所有权限决策必须由后端服务器做出。前端仅负责展示和交互，其隐藏或禁用按钮的行为不可作为安全依据。
3. 使用不可猜测的标识符：避免使用自增整数（1,2,3…）作为资源ID，可以考虑使用UUID或经过加密的随机字符串，增加攻击者枚举的难度。
4. 会话管理安全：使用安全的会话机制，防止会话ID被窃取或固定。设置合理的会话超时时间。

7.3 测试与运维阶段的加固

1. 自动化安全测试：将越权漏洞检查纳入CI/CD流水线。可以使用OWASP ZAP的自动化扫描，或编写专门的自动化测试脚本，模拟不同角色用户尝试越权访问。
2. 定期代码审计与渗透测试：定期进行人工代码审计和黑盒渗透测试，特别是业务逻辑复杂的模块。
3. 完善的日志与监控：记录所有敏感操作的日志，包括操作者、时间、IP、操作内容和目标资源。建立监控告警机制，对异常访问模式（如短时间内大量访问不同ID的资源）进行告警。
4. WAF规则配置：虽然WAF难以完全防御逻辑漏洞，但可以配置规则来阻断明显的参数枚举攻击（如对ID参数进行大量数字遍历的请求）。

8. 总结与反思

走完Webug靶场中水平与垂直越权的复现全程，我们实际上完成了一次完整的漏洞原理学习、环境搭建、利用验证和原因分析。最关键的不是记住了那几个点击步骤，而是理解了“权限校验”这个安全链条是如何在代码层面断裂的。

我个人的体会是，越权漏洞是“安全意识”缺失的集中体现。它不像缓冲区溢出那样涉及深奥的内存知识，它需要的仅仅是开发者在写每一行涉及用户数据的代码时，多问一句：“这个操作，当前登录的用户真的有权利执行吗？服务器端校验了吗？” 作为测试人员，则需要永远抱着“不信任客户端任何输入”的心态，去尝试打破系统设定的边界。

在实际项目中，防御越权是一个持续的过程。从项目初期的权限模型设计，到开发中的代码审查，再到测试阶段的功能与安全测试，最后到上线后的监控审计，每一个环节都需要绷紧这根弦。下次当你看到URL中的一个id参数，或一个功能菜单时，希望你能本能地思考其背后的权限控制是否坚实可靠。这才是这次复现练习带来的真正价值。