玄域靶场越权系列第1关实战复盘

不止是通关，更是总结一套通用高效的漏洞挖掘思路。

最近在刷几个网络安全靶场，准备把一路上的 WriteUp 整理成系列分享出来。后续会陆续更新国内知名靶场、HackTheBox、VulnHub等国际靶场的通关思路，内容涵盖SRC、渗透测试、应急响应、内网与域渗透等方向，感兴趣的朋友可以持续关注。

今天先从一个我非常喜欢的靶场——玄域安全靶场开始。它的特点是从浅入深，每一关都在考察扎实且深入的实战能力。越权漏洞，常年霸占 OWASP Top 10，也是 SRC 中高频率、高赏金的漏洞类型。今天我们就从越权漏洞系列的第1关入手，看看如何通过一个看似简单的功能点，一步步实现越权拿到目标 flag。

目标场景

靶场链接：https://www.shangsec.com/#/pages/vuln_YQ/vuln_1

进入靶场后，页面提供了两个主要功能：

• 查看实名信息

• 编辑个人信息

****在正常逻辑下，点击“查看实名信息”后，我们只能查看****自己的姓名、年龄、身份证号等敏感信息。

但作为安全测试者，我们关心的是：是否存在越权漏洞，让我们看到其他用户的个人信息？

漏洞发现

点击“查看实名信息”后，抓包分析请求。

从参数名uid来看，这很可能是用户身份的唯一标识。如果后端没有做好权限校验，那么修改uid就有可能访问到其他用户的数据。

这是一个典型的水平越权测试点。

漏洞验证

我使用Turbo Intruder将uid参数标注为%s，批量遍历5201300到5201399范围内的用户。

遍历完成后，按Length排序，很快发现了一个长度明显异常的响应包。

查看该响应包发现：当uid=5201315时，成功返回了该用户的姓名、年龄、身份证号等实名信息，而flag也直接出现在了响应包中。

至此，越权漏洞验证成功，flag 到手。

小结与思考

这一关虽然简单，但非常典型，考察的是：

• 越权漏洞的识别能力：从功能点中判断是否存在身份标识参数

• 参数遍历与批量测试：使用 Turbo Intruder 等工具高效发现异常

• 响应分析：通过返回长度、内容差异快速定位越权数据

在实际渗透测试或 SRC 挖掘中，水平越权往往是高频率、高危害的漏洞类型。掌握这类漏洞的发现与利用方式，是提升实战能力的重要一环。

系列预告

后续我会持续更新：

玄域靶场越权系列

• 第 2 关：垂直越权实战——普通用户能否拿到管理员权限？

• 第 3 关：水平越权的进阶利用——越权漏洞如何绕过隐蔽的校验逻辑？

• 第 4 关：越权漏洞的加密绕过——参数加密场景下如何突破目标防护？

更多内容敬请期待

• 国内知名靶场实战复盘（攻防世界、BugKu、CTF Show 等）

• HackTheBox、VulnHub 通关记录（从入门到放弃？不，从入门到入行）

• SRC 真实漏洞挖掘案例（那些让我拿到高赏金的洞）

• 内网渗透、域渗透、应急响应实战场景

我会尽量保持“每一篇都有新知识点”的节奏，避免流水账式的通关记录。

互动时间

你在挖越权漏洞时遇到过哪些有意思的场景？

• 是改个 uid 就拿到 admin 权限的“白送型”？

• 还是参数加密、签名校验层层阻碍的“硬骨头型”？

• 或者你有更妙的操作思路？

欢迎在评论区留言分享，点赞最高的朋友，我可以优先安排你感兴趣的靶场或漏洞类型写一期专题。

也欢迎告诉我：

下一期你想看越权第 2 关的实战，还是想换个口味，来一期 HackTheBox 的实景攻防机器？

你的反馈，直接决定下一篇文章的内容方向。

作者：某甲方医疗集团安全研究员，多年渗透攻防与红蓝对抗实战经验，持有 CISP-PTS、OSEP 等专业红队认证。专注实战型安全研究，致力用白话讲清复杂漏洞。

关注我，一起在实战中成长。