文章总结： 本文详细介绍垂直越权漏洞原理及Pikachu靶场复现步骤。实验通过BurpSuite抓取高权限管理员添加用户的数据包，将其Cookie替换为低权限普通用户的SessionID后重放，成功实现权限提升。该过程揭示了垂直越权的危害：低权限用户可绕过验证执行高权限操作，强调了权限校验的重要性。 综合评分： 83 文章分类： 渗透测试,WEB安全,漏洞分析

网安实验干货每日分享越权之垂直越权-0205

原创

建哥聊安全 建哥聊安全

建哥聊安全

2026年2月5日 09:35 湖南

越权之垂直越权

实验目的

通过本实验，掌握垂直越权漏洞的原理、利用过程以及危害。

实验环境

·操作机：Win10 用户名：Administrator 密码：Sangfor!7890

·靶机：Apache + PHP

（靶场搭建步骤参考https://zhuanlan.zhihu.com/p/433231748）

·实验地址：http://ip/pikachu/vul/overpermission/op2/op2_login.php#

实验原理

垂直越权也叫纵向越权，使用权限低的用户可以访问到权限较高的用户。比如A用户权限比B低，如果A可以访问理论上只有B才能访问的资源，或者执行理论上B才能执行的操作，这就是垂直越权。

实验步骤

1、登录”Attack”操作机，打开浏览器，访问

http://ip/pikachu/vul/overpermission/op2/op2_login.php#

2、由于垂直越权需要低权限用户访问高权限用户，所以需要先使用账户登录。点击“点一下提示”，找到给出的用户名密码。

3、提示中给了两个用户，一个是高权限的管理员用户，一个是普通用户。先使用高权限管理员admin登录

4、管理员admin用户可以查看用户列表、添加用户、删除用户等功能。点击“添加用户”，到添加用户界面，并填写添加用户的相关信息

5、打开桌面的的“Burp”文件夹，双击“BURP.cmd”启动Burp Suite抓包工具

6、切换到“Proxy”代理模块的“Options”，查看Bp的代理

7、切换到浏览器，选择火狐插件中的代理（配置浏览器的的代理），与Bp的代理一致

8、点击“创建”，抓取数据包，并将其发送至“Repeater”重复发包模块，然后丢弃该数据包

9、关闭代理，在登录界面使用低权限用户pikachu登录，该用户只有查看权限，然后再次打开代理

10、刷新页面，抓取数据包

11、复制低权限pikachu用户Cookie字段的PHPSESSID值到Repeater模块抓取的高权限admin用户添加用户的数据包中

12、点击“Send”，发送数据包，然后切换至浏览器关闭代理

13、在低权限用户pikachu登录的状态下，刷新查看用户的页面，发现用户添加成功，使用只有查看用户功能的低权限的Cookie成功执行了高权限才有的添加用户功能，实现了垂直越权。

实验总结

通过本实验，掌握垂直越权的漏洞原理，使用管理员admin账户登录，可以查看用户、添加用户、删除用户；在添加用户页面抓包，然后登录普通用户pikachu，将管理员用户的Cookie替换为普通用户的Cookie，添加用户成功，成功垂直越权，展现了垂直越权漏洞的危害。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：建哥聊安全 建哥聊安全 建哥聊安全《网安实验干货每日分享越权之垂直越权-0205》