DVWA | CSRF(跨站脚本攻击)的渗透通关实践

已于 2024-09-26 15:02:12 修改
阅读量973 收藏 8
点赞数 13
分类专栏: DVWA通关合集 文章标签: 安全 csrf 数据库 前端
于 2024-08-16 23:26:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44846097/article/details/141269457
版权

目录

概述

Low

Medium

High

Impossible

概述

CSRF(Cross-Site Request Forgery,跨站请求伪造) 是一种网络攻击方式。

通过伪造当前用户的行为,让目标服务器误以为请求由当前用户发起,并利用当前用户权限实现业务请求伪造。

例如,假设用户登录了一个银行网站,并且该网站存在 CSRF 漏洞。攻击者可以创建一个恶意网页,其中包含一个指向银行网站的隐藏表单,表单中的操作可能是转账、修改密码等。当用户访问攻击者的恶意网页时,浏览器会自动携带用户在银行网站的登录凭证,向银行网站发送请求并执行表单中的操作,而用户可能完全不知情。

CSRF 攻击通常利用了网站对用户浏览器的信任。为了防范 CSRF 攻击,可以采取以下措施:

  • 验证请求的来源,例如通过 Referer 头或 Origin 头。
  • 在请求中添加不可预测的令牌(token),并在服务器端进行验证。
  • 限制请求的方法(如只允许 POST 操作进行关键操作)。

CSRF 是一种具有一定危害性的网络攻击手段,网站开发者需要采取有效的防范措施来保障用户的安全和网站的正常运行。

Low

查看源代码:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

代码分析:

先通过GET方法获取Change参数并判空,同样的方式获取$password_new和$password_conf并进行等值判断。

然后对新密码做转义处理,放置可能的SQL注入,并对其MD5处理。

接着执行一个update语句更新数据库中当前用户的密码。并给出密码已修改的反馈。

当我正常通过页面修改密码时,正常用户视角会产生这么一个链接:

                        http://192.168.1.24/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#

        此链接我们可以看到:password_new=123,即新密码是123。password_conf=123,即确认密码是123。
于是我们可以构造一个链接:

                        http://192.168.1.24/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#

此链接我们可以看到是新密码是123456,确认密码是123456,

       也就是说这条来链接的作用同样是修改密码,不同的是这条链接是由攻击者视角执行的,攻击者精心构造链恶意链接,通过某些手段发送到用户手上,不知情的用户则会点击该链接,于是在用户合法操作下账户信息悄无声息的被改掉了,而正确的账户信息则在攻击者手里(密码123456)。

在该靶场内,执行此链接,重新登录,账户密码已由123被修改为123456。

Medium

源代码分析:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

代码分析:

stripos():此函数用来查照字符串在另一字符串第一次出现的位置,stripos(string,start)

该代码主要是在SERVER_NAME中对$_SERVER['HTTP_REFERER']校验,HTTP_REFERER字段实际上表明了该网页原生链接,通常为了提高安全,当直接通过浏览器直接输入URL,可以选择不去发送HTTP_REFERER字段,很明显这里使用该手段。

我们现在以正常用户操作视角下抓包看看:

 接下来我们对粘贴的构造的恶意链接进行抓包:

不拿看出两者的区别在于,被粘贴的恶意链接没有出现referer字段,于是插入点就发现了,在我们抓到的包里构造Referer字段。

右键,选择“发送给repeater”,并添加referer字段,如下:

 我们退出重新登录,此时密码被成功修改。

High

该级别特殊地方在于加入了token验证:

在我们正常发出一次页面请求时会携带token:

 需要在brupsuit上安装CSRF Token Tracker插件(token跟踪器):

 正常页面操作访问抓包:

赋值user_token的值到CSRF Token Tracker里,如图:

双击对应的空白处位置即可粘贴即可:

 将抓包代理转发至重发器(Repeater)如图:

 此时我们将密码修改为其它,例如123456,点击“发送”,

确认响应码为200,则表示我们修改成功。

 Impossible

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

championliii
关注
专栏目录
DVWACSRF攻击(Low&medium&High)
liweibin812的博客
01-14 5223
CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。在20...
dvwa XSS(跨站脚本攻击)通关手册
lyy0xfff的博客
08-13 712
ContentsLowXSS()Source CodeSolutionXSS()Source CodeSolutionXSS()Source CodeSolutionMediumXSS()Source CodeSolutionXSS()Source CodeSolutionXSS()Source CodeSolutionHighXSS()Source CodeSolutionXSS()Source CodeSolutionXSS()Source CodeSolutionImpossibleXSS()Sour
DVWA靶场超(详细教程)--跨站攻击(XSS+CSRF)
weixin_60838266的博客
07-19 1286
webanquan”去掉了(替换为空),我们的输入从alert变成了alert()
DVWA 靶场CSRF通关
m0_65761158的博客
07-10 284
添加了一个generateSessionToken()函数,用户每次访问修改密码时服务器会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端的请求。服务器收到修改密码的请求后,会检查参数password_new与password_conf是否相同,如果相同,就会修改密码。修改密码abc123之后就会在地址栏出现相应的链接可以发现是get型所以提交的参数会所以显示,并提示密码修改成功。可以看到密码已修改成功。
DVWA靶场之CSRF通关详解
qq_62169455的博客
06-27 3072
CSRF的形成原因主要是由于Web应用程序没有充分验证请求来源的问题。正常的请求必须携带正确的Cookie信息,而攻击者可以构造一个恶意网站,在其中包含一个发送CSRF请求的链接或表单,当用户访问这个网站时,浏览器会自动发送CSRF请求到被攻击的网站,从而实现攻击。这里查看源码,与刚刚的low等级比较发现,这里只有一个等级发生了改变,即在传入密码和确认密码参数前先进行了一个if语句的判断,判断里面的内容主要是验证这个访问请求是否从dvwa网站本身发起的,如果不是这个网站发起的请求,后面的操作就不执行。
DVWACSRF(跨站请求伪造攻击)
热门推荐
谢公子的博客
10-01 1万+
目录 Low Middle High Impossible Low 源代码: &lt;?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; ...
CSRF02】跨站请求伪造——DVWA靶场实操(含CSRF+XSS协同攻击实验)
Fighting_hawk的博客
03-15 7384
1. 掌握网页相关语言中各种标签的运用; 2. 灵活使用XSS注入代码; 3. 掌握CSRF攻击的方法; 4. 掌握XSS+CSRF协同攻击的方法。
DVWACSRF
weixin_42075643的博客
02-20 714
CSRF:跨站点请求伪造(Cross—Site Request Forgery) 也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种冒充合法用户在当前登录或登录过的且登录信息尚未过期的Web浏览器或者应用程序上执行恶意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 漏洞原理: 合法路人甲登录网站A,登录成功后,服务器返回一个存有用户登录信息的coo.
DVWA-CSRF通关(图文详解+源码解析)
weixin_46709219的博客
03-13 1万+
一)名词解释: CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。在2013年发布的新版OWASP Top 10中,CSRF排名第8。 二)原理: 三)DVWA——
DVWA 共12关通关笔记
09-12
DVWA分为多个级别,从低到高分别是易(Low)、中(Medium)、难(Hard)和地狱(Impossible),涵盖了SQL注入、跨站脚本(XSS)、文件包含、命令注入等常见攻击手段。 1. **SQL注入**: 在DVWA的SQL注入关卡中,...
DVWA通关CSRF
04-11
通关DVWACSRF,你可以按照以下步骤进行: 1. 首先,你需要了解CSRF攻击的原理和过程。CSRF攻击利用了网站对用户请求的信任,通过伪造请求来执行恶意操作。 2. 打开DVWA应用程序,并确保已经配置好了相应的环境...
DVWA靶机通关系列--3.CSRF(跨站点请求伪造)(解题思路+审计分析)
ElsonHY的博客
12-14 551
DVWA靶机通关系列--3.CSRF(跨站点请求伪造)(解题思路+审计分析)前言0x01 CSRF(跨站点请求伪造)CLASS LOWCLASS:MEDIUMCLASS:HIGH总结 前言 这时肯定有小伙伴要说了,“哎呀你怎么第二关的命令注入还没讲就直接讲第三关了???小R你不讲5的,我劝你耗子尾汁……” 开个玩笑,因为最近面试经常被问到关于CSRF的问题,也重新对该部分的理论基础复习了一下,想着趁热打铁,先写这一部分,这样写的过程思路也可能会相对清晰一点,下一篇一定写第二关= =(狗头保命)。 B
网安新声 | 黎巴嫩BP机爆炸事件带来的安全新挑战与反思
WAJXY2021的博客
09-23 334
黎巴嫩传呼设备爆炸事件迅速在全球范围内掀起广泛讨论,它不仅引发了全球对智能设备安全性的忧虑,更是敲响了警钟:网络世界与物理现实的界限已打破,针对网络空间的攻击能够直接穿透至现实世界,造成实质性的破坏与伤害,为全球安全格局带来了新的挑战与反思。
CVE-2024-1112 Resource Hacker 缓冲区溢出分析
信息安全
09-23 886
CVE-2024-1112 是 Resource Hacker 软件的一个缓冲区溢出漏洞。该漏洞存在于版本 3.6.0.92 中。由于软件在处理命令行中的文件路径时未对文件字符串长度进行限制,过长的字符串参数导致内存被过度写入,从而引发缓冲区溢出。
2024年信息安全企业CRM选型与应用研究报告
weixin_51170096的博客
09-23 941
数字化的生活给人们带来便利的同时也带来一定的信息安全隐患,如网络侵权、泄露用户隐私、黑客攻击等。在互联网高度发展的今天,信息安全与我们每个人、每个组织甚至每个国家都息息相关。信息安全行业蓬勃发展。根据智研咨询数据,2021年,我国信息安全市场规模增长至1825亿元,同比增长21.83%。预计2023年市场规模将达到2294亿元。对信息安全企业而言,在高速增长而又竞争激烈的市场中,
【中关村在线-注册/登录安全分析报告】
最新发布
09-23 892
中关村在线(ZOL)创立于1999年,深耕科技垂直领域23年,致力于新消费势力生活科技商品第一导购平台 ,专业高质量内容的提供者。以用户第一为导向,帮用户买好产品,帮客户卖好产品为使命利用专业领先内容,帮助用户更好、更快的选购产品, 通过产品解析、产品点评、问答口碑、对接电商,简化路径、产品评测完善+ 种草导购推荐等环节,让用户全面了解每一款产品性能,帮助用户更精准、更快捷的选购科技产品。
数据保护从现在开始:如何抵御 .[RestoreBackup@cock.li].SRC 勒索病毒
数据恢复研究℃
09-20 1136
通过综合采取以上预防措施,可以显著降低感染 .[RestoreBackup@cock.li].SRC 、[chewbacca@cock.li].SRC勒索病毒的风险。保持警惕、定期备份数据以及更新安全防护措施是确保数据安全的重要策略。预防永远胜于治疗,积极的安全态度是抵御网络攻击的最佳保障。以下是2024常见传播的勒索病毒,表明勒索病毒正在呈现多样化以及变种迅速地态势发展。
业务安全治理
大河之犬的博客
09-20 1204
Nebula是国内安全公司威胁猎人团队开源的一款风控系统,重点解决恶意注册、账号被盗、内容欺诈三方面的业务安全问题,其系统架构如图所示:风控系统的工作方式:1、数据源层大数据风控的基础在于数据,全面、高质量的数据可以帮助我们准确地进行风险控制。用户基本信息,除了我们所熟知的姓名、身份证、银行卡、手机号外,还有学历信息、收入情况,甚至包含当前设备、当前位置等用户的征信数据,除了人行征信系统外,还有一些其他网贷平台上的逾期或黑名单信息,比如某网贷平台的黑名单数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值