DVWA——CSRF(跨站请求伪造)
CSRF,全程Cross-site request forgery,跨站请求伪造,是指利用受害者还没有失效的身份认证信息(cookie、会话等),诱骗其点击恶意连接或者访问包含攻击代码的页面,在受害人不知情的状况下以受害者的身份向(身份认证信息对应的)服务器发送请求,从而完成非法操做(如转帐、改密等)。php
LOWhtml
源码mysql
<?php
if( isset( $_GET[ 'Change' ] ) ) { //判断是否有点击Change参数
// Get input
$pass_new = $_GET[ 'password_new' ]; //获取新密码
$pass_conf = $_GET[ 'password_conf' ]; //获取确认的新密码
// Do the passwords match?
if( $pass_new == $pass_conf ) { //若是两次输入密码相同
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new ); //将新密码进行md5保存
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
经过观察源码发现,在服务器收到修改密码的请求后,会检查参数pass_new和pass_conf是否相同,相同便可修改密码。并无任何的防CSRF机制(固然服务器对请求的发送者是作了身份验证的,是检查的cookie,只是这里的代码没有体现,好比我如今用的是Firefox,若是换成Chrome就没法成功修改)。sql
漏洞利用跨域
http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#
当受害者点击此连接,它的密码就会被更改成123服务器
在进行攻击时咱们能够将连接转换为短链接,由于这种连接看不出是修改密码的样子,不易发现。cookie
虽然利用了短连接隐藏url,但受害者最终仍是会看到密码修改为功的页面,因此这种攻击方法也并不高明。session
现实的攻击场景下,这种方法须要事先在公网上传一个攻击页面,诱骗受害者去访问,在受害者不知情的状况下完成CSRF攻击。这里方便演示,咱们写一个本地的html文件,代码以下。xss
<img src="http://localhost/dvwa/vulnerabilities/csrf/?password_new=hack&password_conf=hack&Change=Change#" border="0" style="display:none;"/> <h1>404</h1> <h2>file not found.</h2>
当受害者访问了html文件,会误认为是一个失效的url,可是实际上已经遭受到了CSRF的攻击,密码被修改成了hack。函数
Medium
源码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Checks to see where the request came from
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
}
else {
// Didn't come from a trusted source
echo "<pre>That request didn't look correct.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
相关函数
int stripos(string string,string patern)
检查string中式第一次出现pattern的位置
能够看到,Medium级别的代码检查了保留变量 HTTP_REFERER(http包头的Referer参数的值,表示来源地址)中是否包含SERVER_NAME(http包头的Host参数),但愿经过这种机制抵御CSRF攻击。
标红的代码,就是http_referrer中必须有被请求页面的主机名。
漏洞利用
过滤规则是http包头的Referer参数的值中必须包含主机名,因此直接用Burpsuite来修改增长Referer。若是是生活当中能够在把文件放在本机上命名为[server_name].html,而后跳转到目标页面便可,那时的referer应该是http://本机IP/服务器IP.txt,一样也是知足条件的,不必定是要从server上跳转,利用文件名也能够绕过。
即将文件名命名为xxx.xxx.xxx.xxx.html 内包括改密请求便可。这样后台在验证referrer的时候,也就有它的主机名了,也就是我这里的localhost,这样就成功绕过了检验。
High
源码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
// Generate Anti-CSRF token
generateSessionToken();
?>
能够看到,High级别的代码加入了Anti-CSRF token机制,用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,须要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端的请求。
很显然,就是这个东西了,每次修改密码时,这个东西也会一块儿被提交到后台,而后后台验证,并且这个token每次请求都时随机生成的,因此,咱们如今想要构造一个恶意连接必需要拿到这个东西。
怎么拿到这个东西呢?如今有两个思路:
**A.**仅仅利用csrf,构造一个恶意连接,这个连接指向咱们服务器的某一个页面,这个页面中用iframe包含了这个登录页面,并经过js脚本将user_token给取出来,而后在构造连接,并自动访问。
**B.**利用xss,xss去获取user_token,而后再构造连接
A方案看似很完美,并且再好久之前也是可行的,可是自从有了同源策略这个东西,同源策略禁止了跨域的读,这里跨域就是从个人服务器读取受害者的域里的东西。
同源策略:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html
B方案就是直接利用dvwa的xss平台,插入一段改密脚本:
<iframe src="../csrf" "var a=new XMLHttpRequest();var token=top.frames[0].document.getElementsByName('user_token')[0].value;a.open('get','../csrf/index.php?password_new=1234&password_conf=1234&Change=Change&user_token='+token,false);a.send(null)">
漏洞利用
Impossible
源码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_curr = $_GET[ 'password_current' ];
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Sanitise current password input
$pass_curr = stripslashes( $pass_curr );
$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_curr = md5( $pass_curr );
// Check that the current password is correct
$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
$data->execute();
// Do both new passwords match and does the current password match the user?
if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
// It does!
$pass_new = stripslashes( $pass_new );
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update database with new password
$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->execute();
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match or current password incorrect.</pre>";
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
能够看到,Impossible级别的代码利用PDO技术防护SQL注入,至于防御CSRF,则要求用户输入原始密码(简单粗暴),攻击者在不知道原始密码的状况下,不管如何都没法进行CSRF攻击。
相关文章
- 1. DVWA-CSRF(跨站请求伪造)
- 2. DVWA 之跨站请求伪造(CSRF)
- 3. 跨站请求伪造(CSRF)
- 4. csrf 跨站请求伪造
- 5. CSRF——跨站请求伪造
- 6. CSRF跨站请求伪造
- 7. 跨站请求伪造CSRF
- 8. 跨站请求伪造—CSRF
- 9. CSRF--跨站请求伪造
- 10. 跨站请求伪造(CSRF)
- 更多相关文章...
- • HTTP 请求方法 - HTTP 教程
- • 伪造ICMP请求包进行路由跟踪 - TCP/IP教程
- • PHP Ajax 跨域问题最佳解决方案
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. vs2019运行opencv图片显示代码时,窗口乱码
- 2. app自动化 - 元素定位不到?别慌,看完你就能解决
- 3. 在Win8下用cisco ××× Client连接时报Reason 422错误的解决方法
- 4. eclipse快速补全代码
- 5. Eclipse中Java/Html/Css/Jsp/JavaScript等代码的格式化
- 6. idea+spring boot +mabitys(wanglezapin)+mysql (1)
- 7. 勒索病毒发生变种 新文件名将带有“.UIWIX”后缀
- 8. 【原创】Python 源文件编码解读
- 9. iOS9企业部署分发问题深入了解与解决
- 10. 安装pytorch报错CondaHTTPError:******
欢迎关注本站公众号,获取更多信息
相关文章
- 1. DVWA-CSRF(跨站请求伪造)
- 2. DVWA 之跨站请求伪造(CSRF)
- 3. 跨站请求伪造(CSRF)
- 4. csrf 跨站请求伪造
- 5. CSRF——跨站请求伪造
- 6. CSRF跨站请求伪造
- 7. 跨站请求伪造CSRF
- 8. 跨站请求伪造—CSRF
- 9. CSRF--跨站请求伪造
- 10. 跨站请求伪造(CSRF)