PHP代码审计入门-DVWA靶场CSRF篇

最新推荐文章于 2024-07-26 17:57:56 发布
最新推荐文章于 2024-07-26 17:57:56 发布
阅读量1k 收藏
点赞数
分类专栏: 渗透测试 代码审计 文章标签: php csrf 网络安全
如需转载请于主页联系,得到允许方可实施
本文链接:https://blog.csdn.net/m0_60988110/article/details/127893389
版权

0x00  写在前面

从零学习php,最终目的实现代码审计入门,软件采用sublime text,环境使用phpstudy搭建,数据库是navicat,需要有基本的前端基础、简单的php+mysql后端基础、渗透知识和漏洞原理,文章跟随流沙前辈学习记录,看看曾经遥不可及的代码审计能不能慢慢啃下来。

本章为代码审计入门第七篇-DVWA靶场篇,对DVWA靶场漏洞进行代码审计。

0x01 CSRF

CSRF模块,注释写在代码里,尽量用详细的语言描述代码含义。

level-low

low.php

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Get input
	//设置并非空,GET型传参
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];
	//接收用户输入
	// Do the passwords match?
	if( $pass_new == $pass_conf ) {
		// They do!
		//两次值相同
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );
		// 用mysqli_real_escape_string做一次简单过滤,给新密码进行一次加密
		// Update the database
		$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
		//更新数据库密码
		$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match.</pre>";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

更新数据库代码部分有一个函数dvwaCurrentUser,跟进看代码逻辑。

又发现一个 &dvwaSessionGrab,继续跟进

然后产生疑惑, &dvwaSessionGrab函数为什么要加& ,百度一番没看懂,吐槽一下:他喵的就不能用朴实无华的语言写出来,非得装杯。。。。。

好的,文章内容代码不是重点,重点是逻辑和漏洞。总结其方法的代码逻辑是判断用户是否登陆,如果用户已登陆把登陆的username返回来,然后修改其数据库对应的password。

为什么会产生漏洞?因为什么限制也没做。

level-medium

相比于low增加一个验证功能,作用简单讲就是检验referer和host值能否匹配上,也就是判断该头的主机地址是否来自DVWA,是继续不是拜拜。

medium.php

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Checks to see where the request came from
	if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
		// Get input
		//stripos函数检测[ 'SERVER_NAME' ]在[ 'HTTP_REFERER' ]出没出现,出现下一步没出现false
		$pass_new  = $_GET[ 'password_new' ];
		$pass_conf = $_GET[ 'password_conf' ];

		// Do the passwords match?
		if( $pass_new == $pass_conf ) {
			// They do!
			$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
			$pass_new = md5( $pass_new );

			// Update the database
			$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
			$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

			// Feedback for the user
			$html .= "<pre>Password Changed.</pre>";
		}
		else {
			// Issue with passwords matching
			$html .= "<pre>Passwords did not match.</pre>";
		}
	}
	else {
		// Didn't come from a trusted source
		$html .= "<pre>That request didn't look correct.</pre>";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

为什么有漏洞,因为burp抓包修改referer和host值就可以

level-high

相比于之前增加token认证,校验浏览器随机产生的token和用户提交修改密码时的token是否一致。其实感觉正常情况,基本有token机制就已经很难实现csrf了。

high.php

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
	// token验证
	// Get input
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Do the passwords match?
	if( $pass_new == $pass_conf ) {
		// They do!
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update the database
		$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
		$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match.</pre>";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

但是这里结合XSS还是存在风险的

漏洞组合拳之XSS+CSRF记录 - FreeBuf网络安全行业门户

level-impossible

既然是impossibale,那以咱水平肯定绕不过去,直接看代码。

代码做了PDO防注入,对于防csrf来讲,最大的区别在于代码要求用户输入原密码,不知道原密码也就不能进行csrf攻击了。

impossible.php

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$pass_curr = $_GET[ 'password_current' ];
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Sanitise current password input
	$pass_curr = stripslashes( $pass_curr );
	$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass_curr = md5( $pass_curr );

	// Check that the current password is correct
	$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
	$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
	$data->execute();

	// Do both new passwords match and does the current password match the user?
	if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
		// It does!
		$pass_new = stripslashes( $pass_new );
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update database with new password
		$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
		$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
		$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
		$data->execute();

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match or current password incorrect.</pre>";
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

 

身高两米不到
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3088
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
58-58.渗透测试-DVWA靶场案例演示.mp4
05-10
58-58.渗透测试-DVWA靶场案例演示.mp4
PHP代码审计入门-DVWA靶场命令注入
身高两米不到的博客
11-14 683
从零学习php,最终目的实现代码审计入门,软件采用sublime text,环境使用phpstudy搭建,数据库是navicat,需要有基本的前端基础、简单的php+mysql后端基础、渗透知识和漏洞原理,文章跟随流沙前辈学习记录,看看曾经遥不可及的代码审计能不能慢慢啃下来。这里先把 $target 输出,看看代码是如何防止命令注入的。常用的命令连接符就差不多了,还有一个常用的但不是命令连接符的东东,基本就这么多。命令注入模块,注释写在代码里,尽量用详细的语言描述代码含义。|| ,前面为假才执行后面命令。
CSRF代码审计
weixin_45653478的博客
06-24 350
浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带 Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的 Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。攻击者可在其服务器上创建钓鱼页面,其包含构造的发送修改用户密码请求的代码, 当用户在已登录网站的情况下点击攻击者发送的钓鱼链接时,密码将被修改。Referer校验,对HTTP请求的Referer校验,如果请求Referer的地址不在允许的列表,则拦截请求。
PHP代码审计入门-DVWA靶场暴力破解
身高两米不到的博客
11-10 1439
从零学习php,最终目的实现代码审计入门,软件采用sublime text,环境使用phpstudy搭建,数据库是navicat,需要有基本的前端基础、简单的php+mysql后端基础、渗透知识和漏洞原理,文章跟随流沙前辈学习记录,看看曾经遥不可及的代码审计能不能慢慢啃下来。这里相较于low,最大的区别点在于使用mysqli_real_escape_string()函数进行转义以防止恶意注入,所以万能密码登陆用不了了。本章为代码审计入门第五-DVWA靶场,对DVWA靶场漏洞进行代码审计
代码审计——DVWA Brute Force(暴力破解)
z1756227332的博客
03-04 627
DVWA是一款渗透测试的靶场。非常适合新手来练习渗透同时也是练习代码审计入门之选。 关于Brute Force(暴力破解)审计 LOW等级代码 if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]...
渗透测试 ( 0 ) --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
freeking101的博客
06-12 3732
渗透测试 --- http协议、XSS、CSRF、文件上传、文件包含、反序列化漏洞
DVWA 入门使用说明与原理解析
Zheng__Huang的博客
05-20 6667
  本文为校网络安全通识课实验部分 DVWA web攻击实验所整理。适用环境 DVWA 1.10(与1.9基本相似) 0. Introduction [DVWA - Damn Vulnerable Web Application](DVWA - Damn Vulnerable Web Application), 是一个基于 PHP/MySQL 的网络攻击靶场,平台上运行了多种网络应用程序,覆盖了日常使用的各种场景,如用户登录、条件查询、文件上传、验证码等;也涉及Web攻击的多种应用手段,如口令爆破、命令.
逻辑漏洞 暴力破解(DVWA靶场)与验证码安全 (pikachu靶场) 全网最详解包含代码审计
dzqxwzoe的博客
06-28 596
在当今互联网的广袤世界,各式交互平台层出不穷。每一个交互平台几乎都要求用户注册账号,而这些账号则成为我们在数字世界的身份象征。账号的安全性变得至关重要。然而,账号安全常常面临着暴力破解这一威胁。暴力破解是一种对账号安全构成严重威胁的行为。这类攻击试图通过尝试大量密码组合来非法获取账号的访问权限。这种行为不仅对个人隐私构成风险,还可能导致个人信息泄露和账号被盗用的情况发生。验证码则是账号安全的守护者之一,它是一道关卡,旨在确保登录或重置密码等敏感操作仅供合法用户进行,从而防止未经授权的访问和暴力破解。
CSRF漏洞详解与挖掘
baimao__Ch的博客
06-03 740
CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用。
DVWA通关详细教程
来日可期的博客
08-13 9087
DVWA通关详细教程
xss-dvwa靶场详情
04-06
dvwa靶场的xss漏洞详情
DVWA靶场环境搭建-dvwa.rar
10-15
DVWA靶场环境文件
PHP-dvwa-高难度代码审计
10-08
PHP-dvwa-高难度代码审计
kali2021.3安装dvwa靶场
02-24
标题的“kali2021.3安装dvwa靶场”是指在Kali Linux 2021.3版本安装DVWA(Damn Vulnerable Web Application)的过程,这是一个广泛用于Web安全学习和实践的模拟靶场。描述提到,这个教程是为刚接触Kali的爱好...
PHP商城案例
最新发布
王世凡的技术博客
07-26 299
http://www.e9933.com/
PHP小课堂】PHP的数组函数学习(一)
硬核项目经理
07-22 860
PHP的数组函数学习(一)数组操作可是 PHP 的重头戏,重头到什么地步呢?别的语言可以说是面向对象、面向过程,PHP 则可以完全说是面向数组的一种语言。它的各种数据结构到最后都可以用数组来表示,这就是很恐怖的一件事。因为不管什么操作,我们都可以以数组的形式操作,这样的话,这些数组操作相关的函数就会显得异常的强大。当然,这也和语言的发展特性分不开。从最开始,PHP 就只是一个准备服务于个人的小...
BUUCTF [WUSTCTF2020]朴实无华
weixin_73399382的博客
07-22 658
第一块就是intval函数的绕过,逻辑上是不存在小于2020又大于2021的数,但是php低版本好像是7点多和以下该函数对不同类型的数据处理有偏差,第二处则是md5函数绕过,
DVWA靶场CSRF
10-19
DVWA一个用于测试Web应用程序漏洞靶场,其包括了CSRF漏洞的测试。CSRF漏洞的形成原因主要是由于Web应用程序没有充分验证请求来源的问题。攻击者可以构造一个恶意网站,在其包含一个发送CSRF请求的链接或表单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值