DVWA(三)-CSRF(跨站请求伪造)

最新推荐文章于 2023-03-14 14:41:50 发布
最新推荐文章于 2023-03-14 14:41:50 发布
阅读量2.1k 收藏 5
点赞数 5
分类专栏: DVWA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42785117/article/details/97008858
版权

CSRF: (Cross Site Request Forgery, 跨站域请求伪造),攻击者构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。用户在登录状态下这个请求被服务端接收后会被误以为是用户合法的操作。说得简单点就是借刀杀人,借用被攻击者的身份,完成攻击者自己的想法。

环境:
搭建了DVWA的虚拟机(win7 x86),虚拟机IP为192.168.157.137。
admin账户登陆在物理机win10 x64
gordonb账户登录在虚拟机win7 x64

DVWA默认账户密码:
在这里插入图片描述

操作界面:
在这里插入图片描述
输入两次修改后的密码,就可以将admin的密码修改。

Low

Low级别源码


<?php 

if( isset( $_GET[ 'Change' ] ) ) { 
    // Get input 
    $pass_new  = $_GET[ 'password_new' ]; 
    $pass_conf = $_GET[ 'password_conf' ]; 

    // Do the passwords match? 
    if( $pass_new == $pass_conf ) { 
        // They do! 
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
        $pass_new = md5( $pass_new ); 

        // Update the database 
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"; 
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user 
        echo "<pre>Password Changed.</pre>"; 
    } 
    else { 
        // Issue with passwords matching 
        echo "<pre>Passwords did not match.</pre>"; 
    } 

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); 
} 

?>

分析: 将用户输入的新旧密码进行比较,如果相同,则将密码MD5加密,使用更新语句将数据库中的旧密码进行更新,没有任何认证过程.

攻击过程

在admin修改密码时发现使用的是GET方式发送数据包,譬如将密码修改为123456时,URL为:

http://192.168.157.137/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#

在得到gordonb已经登录的情况下,诱导他点击该链接,在他不知情的情况下,修改了gordonb账户的密码.
在这里插入图片描述
在这里插入图片描述
现在gordonb的密码会被修改掉了,但是这样的URL很容易被看破,所以可以使用工具将长的有规律的URL转换为短的无规律的URL。
在这里插入图片描述
可是这样还是会打开一个新的网页,并且提示密码已经更改,很容易就会暴露。所以我们创建一个攻击页面,诱导目标人物加载该页面,在目标不知情的情况下,将密码更改。

网页源码:

<img src="http://192.168.157.137/DVWA-master/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#" border="0" style="display:none;"/>

<h1>404<h1>
 
<h2>file not found.<h2>

每个人的路径是不同的,注意修改.

在目标任务加载之后,页面时404not found
在这里插入图片描述
在这里插入图片描述

但其实密码已经被修改

Medium

Medium源码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

分析: 与Low级别相比,多了一步判断,检查最后请求的页面来自何处。

// Checks to see where the request came from
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false )

stripos函数的作用 : stripos(a,b),查找b第一次出现在a的位置,在这里就是判断SERVER_NAMES是否在HTTP_REFERER中出现。

HTTP_HOST是变化的,而SERVER_NAME只有一个。
比如,你现在机器上的一个网站http://www.a.com,这个网站也可以通过http://localhost来访问,指向同一个目录。
如果你在浏览器用http://localhost访问,则HTTP_HOST的值为localhost,而你用www.a.com访问,HTTP_HOST的值就是www.a.com,你用IP地址访问,HTTP_HOST的值就是IP,SERVER_NAME就不会变化,httpd.conf中设置为什么,显示的就是什么。

这个if语句的作用为:

HTTP_REFERER(http包头的Referer参数的值,表示来源地址)中是否包含SERVER_NAME(http包头的Host参数,及要访问的主机名)

在这里插入图片描述
希望以此来预防CSRF攻击
解决思路:
按照Low级别的第一种思路,是不受影响的,因为攻击对象点击的这个链接

http://192.168.157.137/DVWA-master/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#

中含有目标IP。
在这里插入图片描述

不过实战中不会使用这种方式,太容易暴露,所以主要还是使用第二种思路.

既然要求包含服务器ip,可以直接将攻击页面的文件名改为服务器的IP地址
在这里插入图片描述
在这里插入图片描述
成功修改!
在这里插入图片描述

High

High源码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

分析: 去掉了medium等级的验证手段,添加了对token的验证

**解决思路: ** 关键就在于获取token值,所以我们在构造的攻击页面中,首先访问修改密码的页面,得到当前token值,再将该值与其他参数发送给服务端,实现修改密码。但是跨域是不可实现的。需要与xss结合,目前水平不够,挖个坑以后解决。 ( •̥́ ˍ •̀ू )

Impossible

Impossible源码

<?php 

if( isset( $_GET[ 'Change' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

    // Get input 
    $pass_curr = $_GET[ 'password_current' ]; 
    $pass_new  = $_GET[ 'password_new' ]; 
    $pass_conf = $_GET[ 'password_conf' ]; 

    // Sanitise current password input 
    $pass_curr = stripslashes( $pass_curr ); 
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
    $pass_curr = md5( $pass_curr ); 

    // Check that the current password is correct 
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' ); 
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR ); 
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR ); 
    $data->execute(); 

    // Do both new passwords match and does the current password match the user? 
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) { 
        // It does! 
        $pass_new = stripslashes( $pass_new ); 
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
        $pass_new = md5( $pass_new ); 

        // Update database with new password 
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' ); 
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR ); 
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR ); 
        $data->execute(); 

        // Feedback for the user 
        echo "<pre>Password Changed.</pre>"; 
    } 
    else { 
        // Issue with passwords matching 
        echo "<pre>Passwords did not match or current password incorrect.</pre>"; 
    } 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?>

检查token、修改密码需要输入以前的密码、PDO技术预防sql注入,一点机会都不给。
(ÒωÓױ)

封梦
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA】--- 三、请求伪造(CSRF)
qq_43168364的博客
05-31 385
CSRF 一、low级别 代码分析
DVWA请求伪造(csrf)
qq_54537919的博客
06-27 681
DVWA请求伪造(csrf)
N4 DVWA CSRF(请求伪造)
尐猴子君ii的博客
08-17 202
一、概念 CSRF是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或访问包含攻击代码的页面,在受害者不知情的情况下以受害者身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别在于,CSRF没有盗取cookie,而是直接利用。 二、Low级别 1.代码审计 我们可以看见,Low级别的代码,只进行了两次密码比对,如果成功就直接修改。 2.漏洞测试 我们首先进行一次正常的修改密码访问 我们可以看到地址栏变为了如下的内容
DVWA 实验报告:3、请求伪造 CSRF
看那白熊
05-14 1604
请求伪造的复现
DVWA-CSRF请求伪造
MzHeader的博客
03-22 666
DVWA-CSRF请求伪造) 介绍: CSRF,全称Cross-site request forgery,翻译过来就是请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 low <?php if( i...
DVWA-master.zip
01-04
除了上述常见漏洞外,DVWA还包括如“弱口令”、“CSRF(请求伪造)”、“不安全的直接对象引用”等其他安全挑战,这些都为学习者提供了全面的安全训练。 7. **实践与挑战** 通过DVWA,你可以模拟黑客的攻击...
DVWA-master.7z 压缩包
09-14
- 请求伪造(CSRF):攻击者利用用户的已登录状态,诱使用户进行非预期的操作。 - 文件包含漏洞:允许攻击者将外部文件内容包含到应用中,可能导致代码执行或信息泄露。 - 弱认证与会话管理:不安全的登录机制或...
攻击(XSS+CSRF).docx
最新发布
01-05
攻击的关键在于攻击者可以伪造用户的请求,而目标网无法区分这个请求是否来自真正的用户。 为了防范CSRF攻击,通常有以下几种策略: 1. 验证Token:在每个可能执行敏感操作的表单中添加一个随机的、一次性有效的...
DVWA-master安装包
02-28
3. **请求伪造(CSRF)**:攻击者诱导用户执行非预期的操作,比如更改密码或转账,因为请求看起来像是来自用户自己。 4. **文件包含漏洞**:当程序允许用户指定要加载的文件时,不正确的验证可能导致恶意文件被...
Web安全 学习日记8 - CSRF(请求伪造
qq_46081990的博客
03-14 200
CSRF(Cross-Site Request Forgery)攻击中,黑客盗用了用户的身份,以用户的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了黑客所期望的一个操作,比如以用户的名义发送邮件、转账等。方式2:构造一个页面(csrf.html),将修改密码的链接重定向到一个自己写的一个错误页面,用户点击之后以为出错了,实际已经执行了恶意代码。6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据。
DVWA-CSRF
qq_50785772的博客
11-18 293
DVWA-CSRF CSRF 原理 CSRF(Cross-site request forgery)请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网的恶意利用。尽管听起来像脚本(XSS),但它与XSS非常不同,XSS利用点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 攻
DVWA伪命令请求
weixin_44023403的博客
12-06 174
DWVA请求伪造CSRF简介伪命令请求(CSRF)LowMediumHigh CSRF简介 CSRF (Cross-site request forgery),是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份(身份认证信息所对应的)向服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS 最大的区别就在于,CSRF并没有盗取身份认证信息(cookie),而是直接利用。 伪命令请求(CS
CSRF攻击原理及防御和相关漏洞复现
qq_43710889的博客
08-08 1391
CSRF攻击原理及防御和相关漏洞复现 CSRF(Cross-site request forgery)请求伪造,是一种对网的恶意利用。尽管听起来像脚本(XSS),但它与XSS非常不同,XSS利用点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 CSRF攻击原理及过程: 过程 1.用户打开浏览器,访问受信任银行网,输入用户名密码请求登陆网 2.在
DVWA之CSRF(请求伪造攻击)
热门推荐
谢公子的博客
10-01 1万+
目录 Low Middle High Impossible Low 源代码: &lt;?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; ...
DVWA-CSRF请求伪造全等级绕过方法
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-17 3624
CSRF--DVWA全等级绕过前言一、low级别二、Medium级别三、High级别四、Impossible级别总结 前言 CSRF,请求伪造,Cross-site request forgery 受害者:用户在当前已登录的Web应用程序上执行非本意的操作。 攻击者:攻击者欺骗浏览器,让其以受害者的名义执行自己想要的操作。 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 总结     本所有文章均为原创,欢迎转载,请注明文章
【CSRF02】请求伪造——DVWA靶场实操(含CSRF+XSS协同攻击实验)
Fighting_hawk的博客
03-15 6869
1. 掌握网页相关语言中各种标签的运用; 2. 灵活使用XSS注入代码; 3. 掌握CSRF攻击的方法; 4. 掌握XSS+CSRF协同攻击的方法。
DVWA系列(五)——使用Burpsuite进行CSRF(请求伪造
橘子女侠
05-05 4804
1. CSRF(请求伪造)简介 (1)CSRF CSRF(Cross—site request forgery),请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。 (2)CSRF与XSS的区别 ...
DVWA-CSRF漏洞
sc_Pease的博客
01-29 380
参考:https://blog.csdn.net/qq_44720671/article/details/97393100 一、漏洞简介 1,CSRF:cross-site request forgery请求伪造,一种常见Web攻击。 2,利用场景:攻击者伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击就完成了。 3,与XSS比较:csrf是借助用户的权限去完成,而xss是盗取用户权限去进行破坏。 二、查看不同难度的dvwa源代码 1,low难度 查看网页源代码
DVWA---请求伪造CSRF
wyzhxhn的博客
11-23 888
CSRF
dvwa请求伪造 (csrf)
09-13
请求伪造(CSRF)是一种攻击方式,利用用户已经通过身份验证的会话执行非预期的操作。 在DVWA中,CSRF可以被用作一种漏洞进行攻击。攻击者可以通过在受害者浏览器中注入恶意代码或链接,来诱使用户执行某些不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值