privilege-escalation-web
$
npx mdskill add wgpsec/AboutSecurity/privilege-escalation-webDetect unauthorized admin access via mass assignment and session tampering.
- Identify privilege escalation when users register or access APIs.
- Scans for hidden fields, role injection, and header bypasses.
- Prioritizes checks for immediate post-registration admin access.
- Reports findings with specific attack vectors and affected endpoints.
SKILL.md
.github/skills/privilege-escalation-webView on GitHub ↗
---
name: privilege-escalation-web
description: "Web 应用层权限提升。当 Web 应用存在用户注册/登录、角色权限管理、API 参数传输用户身份信息时使用。覆盖 Mass Assignment(批量赋值)攻击、角色/权限字段注入、HTTP 方法/Header 绕过、Cookie/Session 篡改。注册后立即检查普通用户能否越权访问管理员功能——这是第一优先级"
metadata:
tags: "privilege_escalation,mass_assignment,authorization,role-tampering,default_credentials,权限提升,越权,批量赋值,RBAC,admin bypass,角色,权限绕过"
category: "exploit"
---
# Web 权限提升方法论
Web 权限提升和系统提权不同——不需要 exploit,只需要找到应用逻辑中的权限检查漏洞。
## ⛔ 深入参考(必读)
- Mass Assignment 字段清单、HTTP Header 篡改、Cookie 篡改 → [references/web-privesc-techniques.md](references/web-privesc-techniques.md)
## Phase 1: 认证和账户发现
### 默认凭据(最快路径)
```
admin:admin, admin:password, admin:123456
root:root, root:toor, test:test, guest:guest
```
### 注册功能分析
注册新账户,用代理拦截请求,记录请求格式、发送字段、响应字段(可能暴露隐藏字段名)。
检查 `/docs`, `/swagger`, `/openapi.json`。
## Phase 2: Mass Assignment(核心技术)
在注册或更新请求中**添加应用未预期的字段**(每次只加一个):
```json
{"username":"test", "password":"pass", "role":"admin"}
{"username":"test", "password":"pass", "is_admin":true}
{"username":"test", "password":"pass", "is_staff":1}
```
→ 完整字段清单和框架惯例 → [references/web-privesc-techniques.md](references/web-privesc-techniques.md)
## Phase 3: 管理端点直接访问
```
GET /admin → 403? → 试 /admin/ (trailing slash) 或 /Admin (大小写)
GET /api/admin/users → 200?
```
## Phase 4: HTTP 方法/Header 篡改 + Cookie 篡改
```
GET /admin/flag → 403 → 试 POST/PUT/PATCH
Header: X-Original-URL: /admin/flag / X-Forwarded-For: 127.0.0.1
Cookie: role=user → role=admin / admin=0 → admin=1
```
→ 完整 payload 和 Flask session 伪造 → [references/web-privesc-techniques.md](references/web-privesc-techniques.md)
## Phase 5: 对象级越权
修改 URL/参数中的 ID 访问他人资源
## 注意事项
- Mass Assignment 每次只改一个字段——全改可能触发 WAF
- 注册后检查 `GET /api/users/me` 确认权限是否真的变了
- 结合 IDOR + Mass Assignment 效果更好
More from wgpsec/AboutSecurity
- 401-403-bypass401/403 访问拒绝绕过方法论。当遇到管理后台、API 端点返回 401/403 Forbidden 时使用。覆盖路径操纵、HTTP 方法篡改、Header 注入、协议降级、组合攻击
- ad-acl-abuseActive Directory ACL 滥用攻击方法论。当 BloodHound 发现 GenericAll/WriteDACL/WriteOwner/GenericWrite/ForceChangePassword 等危险 ACE 时使用。覆盖 ACE 枚举、权限滥用链、Shadow Credentials、RBCD 攻击
- ad-delegation-attackKerberos 委派攻击(非约束/约束/RBCD)。当 BloodHound 发现委派配置、或已获取有 SPN 的服务账号/机器账号控制权时使用。通过 S4U 协议滥用可实现跨服务模拟任意用户,常用于域内权限提升和横向移动。
- ad-domain-attackActive Directory 域环境攻击全链路。当目标主机在域环境中(systeminfo 显示 Domain 非 WORKGROUP)、发现 88/389/636 端口、或获取到域用户凭据时使用。覆盖域信息收集、用户枚举、Kerberoasting、AS-REP Roasting、委派攻击、ACL 滥用、DCSync、Golden/Silver Ticket
- ad-persistenceAD 域环境持久化技术。当已获取域管/本地管理员权限、需要建立持久访问以确保重启或密码更改后仍能回到目标环境时使用。覆盖主机级持久化(计划任务/注册表Run/COM劫持/WMI事件订阅/Windows服务/启动文件夹)、域级持久化(Golden Ticket/Silver Ticket/Skeleton Key/DSRM/AdminSDHolder)、DCShadow/GoldenGMSA高级技术、清理命令与检测规避
- ad-trust-attack域信任关系攻击。当目标存在多域/多林环境时使用。包含父子域提权(Golden Ticket + ExtraSid)、跨林攻击(SID History/MSSQL Trust Links)、单向信任利用。已获取子域 Domain Admin 或发现信任关系时优先加载。
- adcs-certipy-attackActive Directory Certificate Services (ADCS) 证书攻击。当发现域内有 CA 服务器、ADCS Web Enrollment、证书模板配置错误时使用。覆盖 ESC1-ESC11 所有证书滥用路径、Certipy 工具链、证书伪造、NTLM 中继到 ADCS。发现 ADCS/CA/证书/certsrv 相关内容时一定要使用此技能
- adinfo-enum使用 Adinfo 进行 Active Directory 信息收集。当获得域用户凭据后需要快速收集域环境信息时使用。Adinfo 是一个快速 AD 信息收集工具,一条命令输出域控列表、域管用户、信任关系、GPO、SPN、委派配置等关键信息——比手动 LDAP 查询快得多。发现域环境后第一步信息收集使用此技能
- agent-security|
- ai-data-security|