# ACCESS CONTROL WRITE UP
---
###### tags: `PortSwigger` `Writeup`
## 1. Lab: Unprotected admin functionality
- Trang web này không bảo vệ trang admin panel, để solve được lab em cần phải xóa user carlos
- Đầu tiên em thử vào trỏ đến trang admin, nhưng kết quả không như mong đợi
- Sau đó em thử trỏ đến trang robots.txt, nó cho trình thu thập dữ liệu của công cụ tìm kiếm biết có thể truy cập vào những URL nào trên trang web, khi tiến vào em đã thấy một điều thú vị:
- Trang web disallow trang này để công cụ tìm kiếm không coi nó là một trang công khai, khi em trỏ đến đó thì em đã vào được admin panel:
- Giờ chỉ cần xóa carlos là em đã solve được lab
## 2. Lab: Unprotected admin functionality with unpredictable URL
- Lab này có trang admin panel không được bảo vệ kĩ càng, nó nằm ở một địa chỉ không thể đoán được, nhưng địa chỉ lại được tiết lộ ở đâu đó trong trang web
- Để solve được lab em cần vào trang admin panel, và dùng nó để xóa user carlos.
- Em đã thử vào phần login và F12 để xem source, thì bất ngờ là nó có chứa đoạn code kiểm tra admin:
```js!=
var isAdmin = false;
if (isAdmin) {
var topLinksTag = document.getElementsByClassName("top-links")[0];
var adminPanelTag = document.createElement('a');
adminPanelTag.setAttribute('href', '/admin-7xjte3');
adminPanelTag.innerText = 'Admin panel';
topLinksTag.append(adminPanelTag);
var pTag = document.createElement('p');
pTag.innerText = '|';
topLinksTag.appendChild(pTag);
}
```
- Hàm này sẽ check xem em có phải admin không, nếu có thì sẽ chuyển hướng đến '/admin-7xjte3', và hiện ra là 'Admin panel', nên em đã biết được đường dẫn đến với admin panel là /admin-7xjte3
- Vào được trang admin, em xóa user carlos và hoàn thành lab
## 3. Lab: User role controlled by request parameter
- Lab này có chứa trang admin panel ở địa chỉ `/admin`, nó sẽ quyết định ai là administrator thông qua 1 cái cookie có thể chỉnh sửa được, solve lab bằng cách xóa user carlos
- Em được cấp tài khoản của mình là wiener:peter
- Sau khi đăng nhập vào tài khoản của mình, em F12 lên để xem cookie của bản thân và thấy thuộc tính admin có value là false, nên em đã nghĩ đến việc chỉnh nó về là true để trở thành admin:
- Quả đúng như vậy, sau khi chỉnh thành "true" thì trang web đã có ngay phần admin panel cho em chọn:
- Xóa carlos và em đã hoàn thành lab
## 4. Lab: User role can be modified in user profile
- Lab này có chứa admin panel ở địa chỉ `/admin`, nó chỉ có thể truy cập được nếu user có `roleid` là 2, solve lab bằng cách truy cập vào được admin panel và xóa user carlos. Em được cấp tài khoản của bản thân là wiener:peter
- Đầu tiên em đã thử thay đổi ở phần login là gửi thêm `&roleid=2`, phần home là thêm biến `?roleid=2` nhưng không được gì cả
- Nhưng khi em đổi thử email thì có chuyện rất hay xảy ra:
- Khi update email server trả về file JSON có chứa roleid cùng với username, email và apikey
- Giờ em cần phải làm sao để thay đổi được roleid ở file này là được, vì em gửi email lên cũng theo file JSON nên em đã nghĩ ra mình sẽ thêm thằng roleid vào file JSON gửi đi để thay đổi kết quả trả về:
- Em đã đoán đúng, việc gửi thêm "roleid":2 đã thay đổi kết quả trả về, giờ em sẽ vào trang web và vào admin panel để xóa user carlos
- Xóa carlos, em đã solve được lab
## 5. Lab: URL-based access control can be circumvented
- Trang web này có chứa trang admin chưa được xác thực ở địa chỉ `/admin`, nhưng phần font-end đã được cấu hình để chặn những cách tiếp cận đến đường dẫn đó. Nhưng phần back-end đã sử dụng framework mà hỗ trợ tính năng `X-Original-URL`, để solve lab thì em cần phải xóa user carlos.
- Đầu tiên, em đi tìm hiểu và biết được X-Original-URL là một tính năng dùng để ghi đè đường dẫn URL nhằm qua mặt các giới hạn truy cập và khiến hệ thống mục tiêu hiển thị một URL khác. Mình sẽ sử dụng nó vào phần header để thay đổi giá trị URL
- Vừa vào thì em thấy ngay admin panel ở trang chủ nên đã ấn vào thử, nhưng mà kết quả không giòn vì nó đã bị chặn:
- Sử dụng tính năng trên, em đã đưa trang web vào BurpSuite để chỉnh sửa header của request:
- Bằng cách thêm vào header thuộc tính: `X-Original-Url: /admin`, em đã thành công bypass được vào trang admin panel mà không bị denied
- Sau đó tiếp tục sử dụng tính năng trên, xóa user carlos bằng thuộc tính:
`X-Original-Url: /admin/delete?username=carlos`
- Tuy nhiên nó đã không thành công, trang web báo về em thiếu tham số 'username', nên em đã thử đưa tham số này lên URL gốc và hoàn thành được lab
## 6. Lab: Method-based access control can be circumvented
- Lab này thực thi quyền access control dựa một phần vào phương thức HTTP của requests. Ta có thể làm quen với admin panel bằng tài khoản `administrator:admin`. Để solve lab, em cần đăng nhập vào tài khoản `wiener:peter` và khai thác lỗ hổng access control để thăng cấp tài khoản này thành một administrator.
- Nói sơ qua về chức năng của thằng administrator này, khi đăng nhập vào sẽ có trang admin panel, và trong đó ta có chức năng thăng cấp(upgrade) và giáng cấp(downgrade) cho user
- Đây là http request cho việc thăng cấp tài khoản carlos lên làm admin, giờ em phải làm sao để sử dụng tài khoản wiener để tự thăng cấp cho mình lên làm admin
- Đầu tiên em đã thử sử dụng chức năng `X-Original-URL:` để chèn thêm nhằm bypass URL nhưng không thành công
- Sau đó với em đã thử dùng request lúc upgrade user ở admin, nhưng em thay session của tài khoản em vào:
- Vẫn không giòn, trang web trả về kết quả chưa được xác thực, nên em nghĩ em cần một HTTP Method khác, và trong quá trình tìm hiểu, em đã tìm được link này: [Bypass Access Control](https://github.com/Tikam02/Security-Guide/blob/master/WebDev-Sec/access-controls.md), có một đoạn làm em chú ý:
- Em đã thử làm theo trang web và đúng như trang web nói, response trả về là "Missing parameter 'username'"
- Vì báo là thiếu tham số, nên em đã chuột phải vào request, chọn `Change request method` để đưa request về một HTTP GET request:
- Kết quả là 302 FOUND, chứng tỏ em đã upgrade user wiener thành công:
- Vào lại trang admin thì em thấy tài khoản wiener đã được lên làm admin và em đã solve được lab:
## 7. Lab: User ID controlled by request parameter
- Lab này có chứa lỗ hổng leo quyền ngang hàng dựa vào trang user account, để solve lab này em cần phải lấy được API key từ user carlos và nộp nó.
- Em được cấp tài khoản của chính mình là `wiener:peter`
- Sau khi truy cập vào trang web, ở trang account hiện API key của bản thân em:
- Để ý thì em thấy URL phân loại id theo tên là `id=wiener`, nên em đã thử thay bằng `carlos` xem sao, và woa la nó thành công
- Vậy API key của carlos là: 6IVtQDK4Mt19P7zerjoMzexZwIOcN3vU, nộp nó và em đã solve được lab
## 8. Lab: User ID controlled by request parameter, with unpredictable user IDs
- Lab này có chứa lỗ hông leo thang đặc quyền ngang hàng ở trang user account, nhưng trang web nhận dạng user bằng GUIDs. Để solve lab em cần tìm GUID của user `carlos`, và submit API của carlos
- Em được cấp tài khoản của bản thân là: `wiener:peter`
- Sau khi đăng nhập vào, em đã để ý rằng id của bản thân giờ không đơn giản là 1,2 hay là tên nữa, mà nó là 1 loạt kí tự mà mình không đoán được
- Em đưa trang web vào BurpSuite để xem xét kĩ hơn, và tính năng xem bài viết khá hay, em đã ấn vào bài viết thứ 2 và nó là bài của carlos viết
- Em để ý carlos có thể click vào được và em đã tìm được GUID của carlos vì nó đã lộ ở trên URL:
- Sử dụng userID đó, em đã vào được trang account của carlos
- Mọi thứ đã xong xuôi, nộp API key là `NjLAhR0xPdemWtfNtP5MItf03HvvpcJe` và em đã hoàn thành được lab này:
## 9. Lab: User ID controlled by request parameter with data leakage in redirect
- Lab này có chứa lỗ hổng access control khi mà nhưng thông tin nhạy cảm bị lộ ở phần body của một redirect response. Để solve lab này em cần lấy được API key của user `carlos`
- Em được cấp tài khoản của bản thân là `wiener:peter`
- Quan sát thấy id=wiener, em đã sửa thành carlos xem có lấy được luôn API Key không, nhưng quá buồn là enter phát nó bay cho em một phát về tragn login, nên em đã đưa vào BurpSuite để sửa request xem sao
- Quá bất ngờ, em sửa phát ăn ngay và có được API Key của carlos, trang web đã sai khi để lộ thông tin trong quá trình redirect.
- Trang web đã thực hiện URL trên rồi mới chuyển sang trang login nên em mới lấy được API key như thế này, nộp solution `e6BnKfpsx1ycplahih1ZznadFu2AlIur` và em đã hoàn thành lab:
## 10. Lab: User ID controlled by request parameter with password disclosure
- Lab này có chứa trang user account có chứa mật khẩu của người dùng hiện tại, và đã được quy định khuôn đã được điền trước, để solve lab thì em cần lấy được mật khẩu của administrator, và dùng nó để xóa tài khoản carlos
- Em được cấp tài khoản của bản thân là `wiener:peter`
- Sau khi đăng nhập vào tài khoản, em để ý rằng mật khẩu đã để ở dạng `...` để mình không nhìn thấy được, nên em đã bật F12 lên và trong thẻ HTML đã có ngay giá trị của password
- Ở đây ta có thể nhìn rõ thấy giá trị của mật khẩu là peter, nghi ngờ trang web administrator cũng hoạt động tương tự, em đổi giá trị của tham số `id` trên URL thành `id=administrator`
- Quá hay, em đã có được mật khẩu của administrator là `na36vris9r1l4k785awb` bằng nút F12=)), giờ chỉ cần đăng nhập vào xóa cho carlos bay màu thôi.
## 11. Lab: Insecure direct object references
- Lab này trữ log chat của người dùng ở trong file hệ thống, và lấy nó bằng cách đường URL tĩnh. Để solve lab em cần tìm password của user `carlos` và đăng nhập vào nick họ
- Đầu tiên em đã vào và thử chức năng, chức năng view script cho ta tải về đoạn hội thoại và nếu họ nhập thêm 1 tin nhắn thì số thứ tự file sẽ tăng lên, vì khi lần đầu em ấn tải nó bắt đầu bằng 2.txt
- Nên em đưa vào BurpSuite để xem, đồng thời em đã tải về 1 transcript chat log(lúc này là 6.txt) để quan sát Http History:
- Sau khi download thành công thì trang web đã hiện ra request GET thằng 6.txt này, chứng tỏ trang web lưu thứ này ở trong thư mục `/download-transcript`, em đưa tab này sang Repeater nhằm sửa request thành 1.txt (vì lần đầu em tải bắt đầu từ 2.txt) để xem và nó hiện ra cuộc hội thoại chứa mật khẩu của người dùng:
- Như vậy, mật khẩu của `carlos` là `ax3dhxmns5o0687syuap`, đăng nhập vào và em đã hoàn thành lab này.
## 12. Lab: Multi-step process with no access control on one step
- Lab này có chứa một admin panel và ta có thể thay đổi vai trò của người dùng bằng một chuỗi hành động, ta có thể làm quen với admin panel bằng tài khoản `administrator:admin`. Để solve lab, đăng nhập với tài khoản `wiener:peter` và khai thác lỗ hổng access control để thăng cấp chính mình lên làm administrator
- Đầu tiên, khi vào trang admin panel, nó sẽ cho phép mình upgrade(thăng cấp) hoặc downgrade(giáng cấp) người dùng, và khi em bấm vào nó sẽ hiện ra em có chắc chắn hay không
- Nếu em ấn yes thì nó sẽ forward về trang admin panel cùng với kết quả, còn nếu chọn No, take me back thì nó sẽ đưa em về trang cũ
- Vậy là một quy trình thay đổi vai trò của người dùng bao gồm:
+ Vào trang admin
+ Thay đổi
+ Đồng ý thay đổi
- Thay vì làm ở 2 bước đầu, em đã nghĩ là mình sẽ làm từ bước thứ 3, khi đó server sẽ không phát hiện ra và nghĩ rằng em là admin thì mới đến được bước `Are you sure` này
- Em đưa trang web vào repeater để xem được request ở bước 3 này trông như thế nào
- Như mọi người có thể thấy, có tận 2 lần POST cho 1 lần thay đổi role cho user, nên ở bước 3 này họ thêm phần **confirmed=true** ở body, nên em đưa tab này sang Repeater để thay đổi request.
- Tiếp đến là em sẽ vào bằng tài khoản wiener để lấy session sau đó ốp session vào tab thay đổi role cho người dùng, đồng thời chỉnh lại action và username sao cho đúng:
- Kết quả trả về là 302, chứng tỏ em đã đưa bản thân lên làm admin thành công, vào lại trang để check:
- Vậy là em đã solve được lab này :heavy_check_mark: :heavy_check_mark:
## 13. Lab: Referer-based access control
- Lab trên kiểm soát cách truy cập đến admin dựa theo chức năng Referer của header. Em có thể làm quen với thằng admin panel này bằng tài khoản `administrator:admin`. Để solve lab thì em cần đăng nhập vào với tài khoản `wiener:peter` và khai thác lỗ hổng access control để đưa bản thân lên làm một administrator
- Đầu tiên em sẽ vào trang web và sử dụng chức năng upgrade để xem xét việc thăng cấp vào giáng cấp user hoạt động như thế nào
- Sau khi đưa vào BurpSuite em nhận thấy trang web không sử dụng POST nữa, mà sử dụng GET đồng thời đưa tham số lên URL để gửi, kèm với cả chức năng Referer đến trang admin:
- Chức năng này làm em nghĩ đến việc trang web có thể chỉ quan tâm đến chức năng Referer của header có admin hay không chứ không hề check ai có khả năng vào được đường link này, nên em đã vào bằng tài khoản wiener của chính mình để lấy session:
- Với session của user hiện tại là: `hXJzmOTOTdjXl6LYXwCy1h5X0CnakgCc`, em đưa tab upgrade user role vào Repeater, rồi thay session của user em vào, đồng thời chỉnh sửa lại username:
- Status 302 nghĩa là em đã thăng cấp thành công cho user `wiener` lên làm administrator, đồng thời em đã solve được lab trên:
Sign in with Wallet
Connect another wallet