记一次萌新投稿:改Cookie假装管理员,管理员没当成,差点连游客都做不了!!!

admin 2026-07-13 05:19:26 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文章通过萌新改Cookie越权失败案例,说明现代系统Cookie含加密Session和签名,直接修改明文会触发风控导致账号异常。正确越权测试需使用授权账号交换Token,而非篡改Cookie。强调安全测试需合法授权,未经授权测试属违法行为。 综合评分: 87 文章分类: 渗透测试,实战经验,安全意识,WEB安全,红队


cover_image

记一次萌新投稿:改Cookie假装管理员,管理员没当成,差点连游客都做不了!!!

原创

是老A 是老A

老A搞安全

2026年7月10日 08:23 贵州

在小说阅读器读本章

去阅读

一位深耕网络安全的老兵,目前是一家安全公司的技术分管,擅长渗透测试及安全培训方向,老A的愿望是大家没烦恼,一切顺心!

真实案例分享,请准备纸巾擦眼泪!

有个萌新在SRC挖洞,听说改Cookie可以实现越权操作。

改Cookie?那不就是把用户ID改成1吗?

他觉得自己发现了财富密码。

于是打开浏览器开发者工具,找到Cookie里的userId=8,小手一抖,改成了userId=1。

刷新页面。

然后……被踢下线了。

再登录,账号直接提示“操作频繁,请稍后再试”。

等了好久终于登上去,发现自己差点被风控系统标记成“异常账号”。

他想当管理员,结果连普通用户的身份都差点没保住。

惊掉了……啊哈哈

他的测试流程是这样的:

第一步: 打开Burp Suite抓包,看到Cookie里有个userId=8

第二步: 推理……管理员ID一般是1,改成1试试。

第三步: 改完发送请求。

第四步: 页面“啪”一下,跳转到登录页。

第五步: 重新登录,提示“账号存在安全风险,请验证身份”。

他懵了。

我就是改了个数字,怎么连自己都登不上去了?

为什么会这样?

因为正规厂商的Cookie,根本就不是“明文的”啊!

你以为Cookie长这样:

userId=1

实际上它长这样:

session=eyJ1c2VySWQiOjEyMzQ1LCJzaWduIjoiYWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXoifQ==

看到区别了吗?

真正的Cookie里,用户ID是加密在里面的,而且带签名。

你改了明文ID,但加密密文和签名没变。服务端一解包发现:

  • 解密出来的ID是1
  • 但签名对不上
  • 或者Token里的ID跟签名不匹配

服务端的心理活动:

  • 这个Token的签名是给userId=8签的,你现在告诉我userId=1?
  • 要么Token被篡改了,要么就是恶意请求。
  • 踢了,顺便标记一下这个账号。

更刺激的还在后面

你以为被踢下线就完了?

太天真了。

现代系统的风控机制是这样的:

第一次异常 → 踢下线,记录日志

第二次异常 → 账号加灰,限制部分功能

第三次异常 → 直接风控,要求实名验证或联系客服解封

这位萌新被踢下线之后,又试了两次。

是不是我改的方式不对?我换个编码试试。

结果就是:账号被风控系统盯上了。

重新登录的时候,弹出了:

  • 滑块验证
  • 短信验证码
  • 人脸识别(部分系统真的有)
  • “账号存在异常行为,请联系客服”

他想当管理员,结果连“游客”身份都差点没保住。

最后他花了20分钟做完各种验证,才把账号恢复正常。

而这个过程中,安全团队已经收到了告警:

用户ID 8 尝试篡改Token,疑似横向越权攻击

真正的越权测试应该怎么做?

首先,不要直接改Cookie明文。

这不是挖洞,这是在安全团队的告警系统里留案底。

其次,要有授权的测试账号。

正规的SRC挖洞或者渗透测试,会给你不同权限的测试账号:

  • 普通用户账号(用来测越权)
  • 管理员账号(用来验证权限)
  • 有时还有VIP账号、子账号等

你要做的是:

用普通账号发一个请求,然后把这个请求里的Token,换成管理员账号的Token,再发一遍。

看系统会不会让你访问管理员才能看的数据。

这叫水平越权测试(同角色看别人的数据)和垂直越权测试(低权限访问高权限功能)

而不是自己瞎改Cookie里的ID。

插个话

老一点的系统,或者说十年前改Cookie这种操作挺容易见效的

因为十年前的系统,Cookie确实是爱这么写的

if ($_COOKIE['user_id'] == 1) {    echo "欢迎管理员";} else {    echo "欢迎用户";}

是的,直接把Cookie里的值当成权限判断依据。

那时候改Cookie确实能越权。所以老一辈黑客经常说“改Cookie就能当管理员”。

但那是十年前。

现在的系统:

1. Cookie里有加密Session2. Session里存了用户ID和签名3. 服务端验证签名,防篡改4. Token还有有效期、设备指纹、IP绑定5. 异常行为直接触发风控

你改个ID,等于在一堆验证机制面前挥舞着“我是黑客”的旗子。

系统没直接封你IP,都算客气了。

⚠️ 法律声明:以上内容仅供安全学习和授权测试使用。未经授权的漏洞利用属于违法行为,请勿对未经授权的目标进行测试。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:老A搞安全 是老A 是老A《记一次萌新投稿:改Cookie假装管理员,管理员没当成,差点连游客都做不了!!!》

评论:0   参与:  0