DVWA——CSRF(跨站請求僞造)
CSRF,全程Cross-site request forgery,跨站請求僞造,是指利用受害者還沒有失效的身份認證信息(cookie、會話等),誘騙其點擊惡意連接或者訪問包含攻擊代碼的頁面,在受害人不知情的狀況下以受害者的身份向(身份認證信息對應的)服務器發送請求,從而完成非法操做(如轉帳、改密等)。php
LOWhtml
源碼mysql
<?php
if( isset( $_GET[ 'Change' ] ) ) { //判斷是否有點擊Change參數
// Get input
$pass_new = $_GET[ 'password_new' ]; //獲取新密碼
$pass_conf = $_GET[ 'password_conf' ]; //獲取確認的新密碼
// Do the passwords match?
if( $pass_new == $pass_conf ) { //若是兩次輸入密碼相同
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new ); //將新密碼進行md5保存
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
經過觀察源碼發現,在服務器收到修改密碼的請求後,會檢查參數pass_new和pass_conf是否相同,相同便可修改密碼。並無任何的防CSRF機制(固然服務器對請求的發送者是作了身份驗證的,是檢查的cookie,只是這裏的代碼沒有體現,好比我如今用的是Firefox,若是換成Chrome就沒法成功修改)。sql
漏洞利用跨域
http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#
當受害者點擊此連接,它的密碼就會被更改成123服務器
在進行攻擊時咱們能夠將連接轉換爲短鏈接,由於這種連接看不出是修改密碼的樣子,不易發現。cookie
雖然利用了短連接隱藏url,但受害者最終仍是會看到密碼修改爲功的頁面,因此這種攻擊方法也並不高明。session
現實的攻擊場景下,這種方法須要事先在公網上傳一個攻擊頁面,誘騙受害者去訪問,在受害者不知情的狀況下完成CSRF攻擊。這裏方便演示,咱們寫一個本地的html文件,代碼以下。xss
<img src="http://localhost/dvwa/vulnerabilities/csrf/?password_new=hack&password_conf=hack&Change=Change#" border="0" style="display:none;"/> <h1>404</h1> <h2>file not found.</h2>
當受害者訪問了html文件,會誤認爲是一個失效的url,可是實際上已經遭受到了CSRF的攻擊,密碼被修改成了hack。函數
Medium
源碼
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Checks to see where the request came from
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
}
else {
// Didn't come from a trusted source
echo "<pre>That request didn't look correct.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
相關函數
int stripos(string string,string patern)
檢查string中式第一次出現pattern的位置
能夠看到,Medium級別的代碼檢查了保留變量 HTTP_REFERER(http包頭的Referer參數的值,表示來源地址)中是否包含SERVER_NAME(http包頭的Host參數),但願經過這種機制抵禦CSRF攻擊。
標紅的代碼,就是http_referrer中必須有被請求頁面的主機名。
漏洞利用
過濾規則是http包頭的Referer參數的值中必須包含主機名,因此直接用Burpsuite來修改增長Referer。若是是生活當中能夠在把文件放在本機上命名爲[server_name].html,而後跳轉到目標頁面便可,那時的referer應該是http://本機IP/服務器IP.txt,一樣也是知足條件的,不必定是要從server上跳轉,利用文件名也能夠繞過。
即將文件名命名爲xxx.xxx.xxx.xxx.html 內包括改密請求便可。這樣後臺在驗證referrer的時候,也就有它的主機名了,也就是我這裏的localhost,這樣就成功繞過了檢驗。
High
源碼
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
// Generate Anti-CSRF token
generateSessionToken();
?>
能夠看到,High級別的代碼加入了Anti-CSRF token機制,用戶每次訪問改密頁面時,服務器會返回一個隨機的token,向服務器發起請求時,須要提交token參數,而服務器在收到請求時,會優先檢查token,只有token正確,纔會處理客戶端的請求。
很顯然,就是這個東西了,每次修改密碼時,這個東西也會一塊兒被提交到後臺,而後後臺驗證,並且這個token每次請求都時隨機生成的,因此,咱們如今想要構造一個惡意連接必需要拿到這個東西。
怎麼拿到這個東西呢?如今有兩個思路:
**A.**僅僅利用csrf,構造一個惡意連接,這個連接指向咱們服務器的某一個頁面,這個頁面中用iframe包含了這個登錄頁面,並經過js腳本將user_token給取出來,而後在構造連接,並自動訪問。
**B.**利用xss,xss去獲取user_token,而後再構造連接
A方案看似很完美,並且再好久之前也是可行的,可是自從有了同源策略這個東西,同源策略禁止了跨域的讀,這裏跨域就是從個人服務器讀取受害者的域裏的東西。
同源策略:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html
B方案就是直接利用dvwa的xss平臺,插入一段改密腳本:
<iframe src="../csrf" "var a=new XMLHttpRequest();var token=top.frames[0].document.getElementsByName('user_token')[0].value;a.open('get','../csrf/index.php?password_new=1234&password_conf=1234&Change=Change&user_token='+token,false);a.send(null)">
漏洞利用
Impossible
源碼
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_curr = $_GET[ 'password_current' ];
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Sanitise current password input
$pass_curr = stripslashes( $pass_curr );
$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_curr = md5( $pass_curr );
// Check that the current password is correct
$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
$data->execute();
// Do both new passwords match and does the current password match the user?
if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
// It does!
$pass_new = stripslashes( $pass_new );
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update database with new password
$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->execute();
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match or current password incorrect.</pre>";
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
能夠看到,Impossible級別的代碼利用PDO技術防護SQL注入,至於防禦CSRF,則要求用戶輸入原始密碼(簡單粗暴),攻擊者在不知道原始密碼的狀況下,不管如何都沒法進行CSRF攻擊。
- 1. DVWA-CSRF(跨站請求僞造)
- 2. DVWA 之跨站請求僞造(CSRF)
- 3. 跨站請求僞造(CSRF)
- 4. csrf 跨站請求僞造
- 5. CSRF——跨站請求僞造
- 6. CSRF跨站請求僞造
- 7. 跨站請求僞造CSRF
- 8. 跨站請求僞造—CSRF
- 9. CSRF--跨站請求僞造
- 10. 跨站請求僞造(CSRF)
- 更多相關文章...
- • HTTP 請求方法 - HTTP 教程
- • 僞造ICMP請求包進行路由跟蹤 - TCP/IP教程
- • PHP Ajax 跨域問題最佳解決方案
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. DVWA-CSRF(跨站請求僞造)
- 2. DVWA 之跨站請求僞造(CSRF)
- 3. 跨站請求僞造(CSRF)
- 4. csrf 跨站請求僞造
- 5. CSRF——跨站請求僞造
- 6. CSRF跨站請求僞造
- 7. 跨站請求僞造CSRF
- 8. 跨站請求僞造—CSRF
- 9. CSRF--跨站請求僞造
- 10. 跨站請求僞造(CSRF)