Insecure CAPTCHA漏洞利用以及防御

最新推荐文章于 2022-11-18 15:25:38 发布
最新推荐文章于 2022-11-18 15:25:38 发布
阅读量732 收藏 3
点赞数 1
分类专栏: Web 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45969062/article/details/114209081
版权

漏洞介绍

  • CAPTCHA项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称,是一种区分用户是计算机和人的公共全自动程序。
  • 使用CAPTCHA可以防止计算机恶意破解密码、刷单等,保证用户是人类(无法快速反复发送请求)。
  • 攻击者绕过CAPTCHA验证后,可以使用恶意脚本操控计算机反复发送请求或者在异地实现绕过验证的CSRF攻击。

漏洞原理

  • CAPTCHA漏洞利用验证机制的逻辑漏洞,下面给出验证流程。
  • 服务器使用recaptcha_check_answer()函数验证用户输入的正确性

recaptcha_check_answer(string: $privkey, string: $remoteip, string: $challenge, string: $response, array: $extra_params = array())

  • 可以利用服务器核对验证信息这个环节,绕过CAPTCHA验证,完成非人类请求。

漏洞复现

  • 这里使用DVWA靶场完成对攻击场景的模拟。
  • 由于Burp Suite的代理和梯子冲突,故不打开梯子,reCAPTCHA无法显示(会使用方法绕过,此处不影响)。

Low

代码

<?php

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check CAPTCHA from 3rd party
    $resp = recaptcha_check_answer(
        $_DVWA[ 'recaptcha_private_key'],
        $_POST['g-recaptcha-response']
    );

    // Did the CAPTCHA fail?
    if( !$resp ) {
        // What happens when the CAPTCHA was entered incorrectly
        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;
    }
    else {
        // CAPTCHA was correct. Do both new passwords match?
        if( $pass_new == $pass_conf ) {
            // Show next stage for the user
            echo "
                <pre><br />You passed the CAPTCHA! Click the button to confirm your changes.<br /></pre>
                <form action=\"#\" method=\"POST\">
                    <input type=\"hidden\" name=\"step\" value=\"2\" />
                    <input type=\"hidden\" name=\"password_new\" value=\"{$pass_new}\" />
                    <input type=\"hidden\" name=\"password_conf\" value=\"{$pass_conf}\" />
                    <input type=\"submit\" name=\"Change\" value=\"Change\" />
                </form>";
        }
        else {
            // Both new passwords do not match.
            $html     .= "<pre>Both passwords must match.</pre>";
            $hide_form = false;
        }
    }
}

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check to see if both password match
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the end user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with the passwords matching
        echo "<pre>Passwords did not match.</pre>";
        $hide_form = false;
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

审计

  • 这里修改密码的过程有两步,第一步是CAPTCHA的验证环节,第二步是将参数POST到后台。
  • 由于两步操作的判断是完全分开、没有联系的,于是可以忽略第一步的验证,直接提交修改申请。
  • 两个步骤对应的step参数不同,可以通过抓取报文并且修改step,来实现验证的绕过。
  • 代码没有对CSRF进行任何防护,可以利用CSRF漏洞进行攻击。

攻击

  • 不进行验证,直接输入对密码的修改。
  • 点击change后,step本应提交为1,此处进行抓包修改。
  • 修改之后则绕过了验证阶段,直接进行密码修改。
  • 第二种方法,同CSRF攻击一样,构造攻击页面。
<html>

	<body onload="document.getElementById('transfer').submit()">

		<div>

			<form method="POST" id="transfer" action="http://127.0.0.1/DVWA-master/vulnerabilities/captcha/">

				<input type="hidden" name="password_new" value="password">

				<input type="hidden" name="password_conf" value="password">

				<input type="hidden" name="step" value="2">

				<input type="hidden" name="Change" value="Change">

			</form>

		</div>

	</body>

</html>
  • 用户点击攻击页面后自动提交请求,并跳转到修改密码的初始页面。

Medium

代码

// Same as Low
...
    
// Check to see if they did stage 1
if( !$_POST[ 'passed_captcha' ] ) {
    $html     .= "<pre><br />You have not passed the CAPTCHA.</pre>";
    $hide_form = false;
    return;
}
...

审计

  • Medium级别基于Low的基础,在第二步判断增加了对第一步是否通过的验证,即判断参数passed_captcha是否为真。
  • passed_captcha参数是通过POST提交的,整个请求也是POST请求,故可以人为加上此参数。

攻击

  • Low一样,直接跳过验证环节,提交请求。
  • 使用Burp Suite抓取包并修改报文,将步骤直接调整到第二步,第二步的验证伪造为已验证,即直接加入passed_captcha参数,混入POST的参数提交。
  • Forward提交请求,发现完成绕过。
  • 利用CSRF漏洞攻击时,攻击页面需要添加一条参数提交。
<input type="hidden" name="passed_captcha" value="true">

High

代码

<?php

if( isset( $_POST[ 'Change' ] ) ) {
    // Same as Medium
    ...

    if (
        $resp || 
        (
            $_POST[ 'g-recaptcha-response' ] == 'hidd3n_valu3'
            && $_SERVER[ 'HTTP_USER_AGENT' ] == 'reCAPTCHA'
        )
    ){
        ...

// Generate Anti-CSRF token
generateSessionToken();

?>

审计

  • High级别将验证流程合并,通过连续的判断将两个步骤相同的部分合并,避免了第一步验证的直接改参绕过。
  • 加入了token机制,有效防止CSRF漏洞攻击,下面不再做攻击页面。

攻击

  • 看到了后端代码,发现即使不验证也有机会绕过验证,于是针对g-recaptcha-responseHTTP_USER_AGENT操作。
  • 同样不验证,直接提交请求并对相关参数进行抓包修改。
  • 提交后,参数完成了伪造绕过。

漏洞防御

  • 使用Impossible级别代码作为防御模板。

代码

<?php

if( isset( $_POST[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_new  = stripslashes( $pass_new );
    $pass_new  = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_new  = md5( $pass_new );

    $pass_conf = $_POST[ 'password_conf' ];
    $pass_conf = stripslashes( $pass_conf );
    $pass_conf = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_conf ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_conf = md5( $pass_conf );

    $pass_curr = $_POST[ 'password_current' ];
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check CAPTCHA from 3rd party
    $resp = recaptcha_check_answer(
        $_DVWA[ 'recaptcha_private_key' ],
        $_POST['g-recaptcha-response']
    );

    // Did the CAPTCHA fail?
    if( !$resp ) {
        // What happens when the CAPTCHA was entered incorrectly
        echo "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
    }
    else {
        // Check that the current password is correct
        $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
        $data->execute();

        // Do both new password match and was the current password correct?
        if( ( $pass_new == $pass_conf) && ( $data->rowCount() == 1 ) ) {
            // Update the database
            $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
            $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
            $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
            $data->execute();

            // Feedback for the end user - success!
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Feedback for the end user - failed!
            echo "<pre>Either your current password is incorrect or the new passwords did not match.<br />Please try again.</pre>";
            $hide_form = false;
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

审计

  • 使用Anti-CSRF token机制防御CSRF攻击。
  • 验证步骤合并为同一步,无需分开,使得验证环节无法绕过。
  • 要求输入修改之前的密码,攻击者无法绕过。
  • 利用PDO技术输入内容过滤,防止了sql注入。
ch3uhx9
关注
专栏目录
Insecure CAPTCHA(不安全的验证码)
kid的博客
05-07 1942
Insecure CAPTCHA 前言 这里我觉得主要是要理解谷歌验证码这个流程,因为这是一个逻辑漏洞,要是换成别的验证方式,这次的漏洞也就不一定有效了,主要还是理解这个验证码的一个流程吧 我在别人的博客看到了这张图,我也是通过这张图来理解这个验证流程的。下面简单说下我的理解 首先用户访问网页,触发页面的验证码的js模块,向谷歌服务器发起请求,谷歌服务器将验证码发给用户。用户输入验证码发送数据回...
DVWA--Insecure CAPTCHA(不安全的验证码)(全难度)
wwxxee
02-20 622
DVWA–Insecure CAPTCHA(不安全的验证码) Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。 逻辑 这一模块的验证码使用的是Google提供reCAPTCHA服务,下图是验证的具体流程。 服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。
DVWA之Insecure Captcha
谢公子的博客
08-05 5430
Insecure CAPTCHA Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌...
不安全的验证码Insecure CAPTCHA
weixin_33937913的博客
06-20 341
没啥好讲的,当验证不合格时,通过burp抓包工具修改成符合要求的数据包。修改参数标志位、USER-AGENT之类的参数。 防御 加强验证,Anti-CSRFtoken机制防御CSRF攻击,利用PDO技术防护sql注入,验证码无法绕过,同时要求用户输入之前的密码,进一步加强了身份认证。 转载于:https://www.cnblogs.com/aeolian/p/11058792.html...
实验二 CSFR漏洞Insecure CAPTCHA漏洞、文件包含
Sumarua的博客
10-24 606
实验二 CSFR漏洞Insecure CAPTCHA漏洞、文件包含 一、实验目的1、了解csrf漏洞定义及原理;2、使学生掌握csrf漏洞利用,以及防御方法。3、了解Insecure CAPTCHA漏洞定义及原理。4、使学生掌握Insecure CAPTCHA漏洞利用,以及防御方法。5、了解文件包含漏洞定义及原理;6、使学生掌握文件包含漏洞利用,以及防御方法。二、实验环境DVWA实验平台、php编辑器等。三、实验内容及步骤:   1、XSS存储型漏洞低中高级别代码分析。 &n
Insecure CAPTCHA
angry_program的博客
02-07 444
前言 Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞, 并不是验证码API本身的漏洞...
DVWA关卡6:Insecure CAPTCHA(不安全的验证码)
m0_54899775的博客
12-07 1477
DVWA关卡6:Insecure CAPTCHA(不安全的验证码)
DVWA-Insecure CAPTCHA(不安全的验证码)
weixin_50342860的博客
08-25 767
目录风险lowmediumhigh修复 风险 是指验证码验证可以被绕过。怎么绕?一般都是验证码的验证和最终修改的验证分离,导致了中间过程(验证码的验证结果)可以被篡改 进入Insecure CAPTCHA 模块,看到需要配置 根据相应的路径,找到文件中下图所示的位置,输入随意值,保存 可刷新页面,正常访问 low <?php if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) { // Hide
信息安全实训——漏洞利用
Playepineapple的博客
05-23 533
实训背景知识 DVWA(Damn Vulnerable Web Application)是randomstorm的一个开源项目。一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA共有十个模块,分别是: 1.Brute Force(密码破解) 2.Command Injection(命令行注入) 3.CSRF(跨站请求伪造) 4.File Inclusion(文件包含)
#笔记(二十七)#dvwa漏洞Insecure CAPTCHA 小结
vircorns的博客
02-23 565
Insecure CAPTCHA
DVWA靶场-----Insecure CAPTCHA(不安全的验证码)
m0_65712192的博客
11-18 1249
DVWA靶场-----Insecure CAPTCHA(不安全的验证码)
DVWA:Insecure CAPTCHA(不安全的验证码绕过)
shmilyzmy的博客
10-22 1229
low 1.首先在burpsuite中打开代理,即图中的第一步,登录dvwa 2.修改安全等级 ,分析源码 3.返回burpsuite开启代理之后,回到dvwa界面,(切记记住输入的密码)点击change提交,之后再返回burpsuite,可看见服务器返回的表单 检查用户输入的验证码,验证码通过后服务器返回表单 客户端提交post请求,服务器完成更改密码的操作 全选后鼠标右击,点击send to repeater medium 前面步骤...
【工具-DVWA】DVWA渗透系列六:Insecure CAPTCHA
qqchaozai的专栏
10-24 2093
前言 DVWA安装使用介绍,见:【工具-DVWA】DVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion(文件包含)5.File Uploa...
DVWA——Insecure CAPTCHA(不安全验证码)
qq_45780190的博客
05-13 506
DVWA——Insecure CAPTCHA(不安全验证码) 验证码最大的作用就是防止攻击者使用工具或者软件自动调用系统功能 就如Captcha的全称所示,他就是用来区分人类和计算机的一种图灵测试,这种做法可以很有效的防止恶意软件、机器人大量调用系统功能:比如注册、登录功能。 我们前面讲到的Brute Force字典式暴力破解,就必须要使用工具大量尝试登录。如果这个时候系统有个严密的验证码机制,此类攻击就无计可施了。 LOW 服务器端核心代码: <?php // 步骤1 if( isset( $_
DVWA11_Insecure CAPTCHA(不安全的验证码)
weixin_44193247的博客
03-12 3517
DVWA漏洞复现练习篇
DVWA靶场-insecureCAPTCHA
zeroone的博客
03-09 450
第六关:Insecure CAPTCHA(不安全验证码) Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但在DVWA中主要是验证逻辑出现了漏洞 Low <?php if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ]
dvwa靶场之Insecure CAPTCHA(不安全的验证码)
m0_63314341的博客
02-12 4285
刚进去你可能看到这样的报错,这是因为我们没有申请密钥,需要手动输入密钥,我们根据红框提示找到文件添加密钥即可 现在我们来看一下low级别 当我们输入两次密码后他会进行一个验证码校验,验证通过后便会出现四个值,我们可以抓包看一下 我们将step的值改为2后再次发送即可校验通过 下面我们来看一下medium级别 这次变成了五个值,我们依旧是抓包将值改为他所要求的即可 下面我们来看一下high级别 这下加入了$_POST['g-recaptcha-response']...
DVWA 之 Insecure CAPTCHA(不安全的验证码)
RexHa的博客
10-03 1430
DVWA 不安全的验证码
Insecure CAPTCHA修复建议
最新发布
12-20
Insecure CAPTCHA修复建议如下: 1. 使用更强大的验证码:考虑使用更复杂和难以破解的验证码,例如图像验证码、滑动验证码或者数学题验证码。这些验证码可以提高安全性,防止自动化脚本和机器人攻击。 2. 添加时间...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值