低等级
先看源代码
<?php
// 检查是否点击了“Change”按钮
if( isset( $_GET[ 'Change' ] ) ) {
// 获取输入的新密码和确认密码
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// 检查两个密码是否匹配
if( $pass_new == $pass_conf ) {
// 如果匹配
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new ); // 将密码进行MD5哈希
// 更新数据库中的密码
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// 向用户反馈密码已更改
echo "<pre>Password Changed.</pre>";
}
else {
// 如果两个密码不匹配
echo "<pre>Passwords did not match.</pre>";
}
// 关闭数据库连接
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
源码可知网页会检查pass_new和pass_conf是否相等,若相等则用mysql_real_escape_string()和md5()对pass_new进行处理后更新数据库
新密码输入1234确认密码输入123后提示不匹配,观察url
将链接中的password_conf=123改为password_conf=1234后打开新页面并输入
中等级
看源代码
<?php
// 检查是否点击了“Change”按钮
if( isset( $_GET[ 'Change' ] ) ) {
// 检查请求的来源是否与服务器名称匹配
if( stripos( $_SERVER[ 'HTTP_REFERER' ], $_SERVER[ 'SERVER_NAME' ] ) !== false ) {
// 获取输入的新密码和确认密码
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// 检查两个密码是否匹配
if( $pass_new == $pass_conf ) {
// 如果匹配
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new ); // 将密码进行MD5哈希
// 更新数据库中的密码
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// 向用户反馈密码已更改
echo "<pre>Password Changed.</pre>";
}
else {
// 如果两个密码不匹配
echo "<pre>Passwords did not match.</pre>";
}
}
else {
// 请求来源不可信
echo "<pre>That request didn't look correct.</pre>";
}
// 关闭数据库连接
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
抓包找到referer
然后使用hacker添加referer
然后就可以了
HIgh
High级别的代码加入了Anti-CSRF token机制,用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端的请求。