关于DVWA的学习-CSRF

已于 2022-04-21 21:15:03 修改
阅读量167 收藏 2
点赞数
分类专栏: DVWA学习 文章标签: 网络安全 安全 php web安全
于 2022-04-21 21:06:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sofreshcoder/article/details/124323892
版权

关于DVWA的学习-CSRF

Background

CSRF(Cross-Site Request Forgery)跨站点请求伪造。

相关介绍:
CSRF及相关防御手段介绍

low

在这里插入图片描述
说实话,一开始都不知道是干啥的,只看出是用于修改password的界面。
点击提交之后,url发生了变化,并且不需要token,因此直接利用这个链接便可以随时修改密码。
在这里插入图片描述

  1. 比如我新开一个tab,输入上面的url,便会提示修改成功:
    在这里插入图片描述
  2. 直接使用原链接未免有些明显,可以生成短链接,不那么容易被发现。(短链接生成工具
    在这里插入图片描述

medium

在这里插入图片描述
界面和low一样,故技重施,在新tab输入修改密码的url,会提示报错。
查看源代码:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Checks to see where the request came from
	if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {	//查看是否referer中是否包含服务器名,防止csrf的一种手段
		// Get input
		$pass_new  = $_GET[ 'password_new' ];
		$pass_conf = $_GET[ 'password_conf' ];

		//echo $_SERVER[ 'HTTP_REFERER' ];

		// Do the passwords match?
		if( $pass_new == $pass_conf ) {
			// They do!
			$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
			$pass_new = md5( $pass_new );

			// Update the database
			$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
			$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

			// Feedback for the user
			$html .= "<pre>Password Changed.</pre>";
		}
		else {
			// Issue with passwords matching
			$html .= "<pre>Passwords did not match.</pre>";
		}
	}
	else {
		// Didn't come from a trusted source
		//$html .= $_SERVER[ 'SERVER_NAME' ] ;
		$html .= "<pre>requests seem wrong.</pre>";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

从代码看出,加了一个防御手段,就是查看referer(简单解释的话,referer就是:你从哪里发起这个请求的,可以拦截从外部网站提出的请求)。
通过抓包,我的referer是包含服务器名(我的IP)的,但是却一直报错,后来通过打印 $_SERVER[ ‘SERVER_NAME’ ],发现输出的不是IP,而是 “localhost”,很离谱。后来将Nginx换成Apache便可以了TAT。
在这里插入图片描述
在这里插入图片描述
成功!

high

采用了user_token检查机制,进行CSRF之前,需要获取当前的token(每次刷新都会更新),才能实现攻击,搜索了之后有两种基本方式,XSS和bp的CSRF_token_tracker插件。
在这里插入图片描述
有了这个插件之后,每次重放这个数据包都会自动更新user_token:
在这里插入图片描述
关于XSS,明天学学。

impossible

在这里插入图片描述
可以看到,需要输入原密码。
再来看一下代码:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$pass_curr = $_GET[ 'password_current' ];
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Sanitise current password input
	$pass_curr = stripslashes( $pass_curr );
	$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass_curr = md5( $pass_curr );

	// Check that the current password is correct
	$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
	$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
	$data->execute();

	// Do both new passwords match and does the current password match the user?
	if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
		// It does!
		$pass_new = stripslashes( $pass_new );
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update database with new password
		$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
		$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
		$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
		$data->execute();

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match or current password incorrect.</pre>";
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

需要输入原密码的话,就很难发起CSRF攻击了,因为attacker很难先得到victim的密码。

江畔有雨
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DVWA爆破high等级与token机制介绍(附防爆破措施)
weixin_44174581的博客
08-13 961
token机制介绍 https://www.cnblogs.com/xuxinstyle/p/9675541.html 对于有token来防护csrf的,可以使用到Grep功能进行爆破,因为每次用户的token都是随机的。 原理: options将线程数设置为1(递归查找,将上一个请求的相应token作为下一个请求的payload的token,所以就不并发) High里面添加了user_token,用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器
DVWA-BruteFoce高级安全
R4bbit
06-24 259
DVWA:security=high GET包结构 比起来之前low,medium等级,可以看到这里多了一个参数,user_token,为了防止暴力破解加了一个token的验证,这种应该属于多重验证,但是明显能看出来user_token就是用户输入密码的md5形式,直接用burpsutie中Payload Processing处理下就OK了 如果不知道token是用的什么加密算法,就从前端中去寻找,这里发现了一个hidden的隐藏域 ...
DVWAToken机制_tocken
最新发布
2301_82243523的博客
05-16 395
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。通常情况下来说,Session ID的生成器是基于服务器端的Session机制,并且有固定的失效时间,在失效时间前,客户端只要通过Cookie在请求中将Session ID发回给服务器,服务器便完成了校验,而不关心是否真实的用户发送的请求。在这一点上,Token也可以实现,比如下图的处理流程与Session完全一致。
利用Burp破解DVWA high模式下的 user_token
weixin_55793061的博客
08-11 111
然后回去在《位置》里边 《清除payload位置&》就留下用户名跟密码以及这个user_token的位置就行,如果知道了用户名就不用留下他的位置 因为这里我知道用户名 就不用留了,在这里要使用交叉攻击。然后点击《payload》 如果你也是跟我一样选择了两个 那你就选着第二个payload集,如果不是你就数一数。在页面最下方输入token 会自动跳到那里 然后双击value里边的值就会自动显示。然后设置好其他的payload集直接点击《开始攻击》就行 ,这里可以看到密码正确了。
利用Burp 破解DVWA 登录模式下的user_token
weixin_55793061的博客
08-11 201
然后去《位置》里边《清除payload》只选择账号跟密码,因为咱知道里边一个账号叫admin 所以只选择密码就行,然后就选择《单个payload》就行。参数名称可以自己取, 点击下方的《重新获取》,在获取到的页面里边找到这个token,可以使用下方的导航栏 ,双击value的值 自动填写。然后点击《开始攻击》,这里password的页面渲染跟其他的不一样,长度也不一样,就说明password是正确密码,完工。确认完成之后,选中这个《范围》,《url范围》选择包含所有url,然后确认就行。
DVWA —— Brute Force 暴力破解
YouTheFreedom的博客
05-20 2417
由于没有对登录页面进行相关的防暴力破解机制,如无验证码、有验证码但验证码未在服务器端校验以及无登录错误次数限制等,导致攻击者可通过暴力破解获取用户登录账户及口令,从而获取网站登录访问权限
DVWA--CSRF详解
洋洋的小黑屋
01-04 2195
CSRF概念: CSRF跨站请求伪造,黑客诱导用户点击有伪造请求(修改密码,转账,删除文章等高风险操作请求)链接后,利用未失效的用户认证信息,产生服务器验证请求通过,导致用户在不知名的情况下进行了转账等操作。 与XSS的区别: XSS是通过修改页面Javascript等代码后,发给用户从而实现盗取cookie信息,之后利用cookie进行登陆网站等操作。非法操作是黑客。 CSRF并没有盗取coo...
DVWA-master.zip
01-04
除了上述常见漏洞外,DVWA还包括如“弱口令”、“CSRF(跨站请求伪造)”、“不安全的直接对象引用”等其他安全挑战,这些都为学习者提供了全面的安全训练。 7. **实践与挑战** 通过DVWA,你可以模拟黑客的攻击...
DVWA-master.7z 压缩包
09-14
学习和利用DVWA可以帮助你理解这些漏洞的工作原理,提升你的安全意识和防御能力。同时,也可以用于测试和验证安全工具的有效性。在实际操作中,请确保遵循合法的测试准则,避免对他人系统造成损害。
DVWA-master安装包
02-28
这个名为“DVWA-master”的安装包,正是为学习Web安全的爱好者准备的一份宝贵资源。 首先,让我们从安装开始。下载并解压“DVWA-master”压缩包后,你需要一个本地Web服务器环境来运行此应用,如XAMPP或WAMP。这些...
DVWA靶场CSRF(跨站请求伪造)
m0_65712192的博客
11-12 1013
DVWA靶场CSRF(跨站请求伪造)
DVWA登录出现csrf token incorrect
Warren_0611的博客
03-07 3383
猜测跟火狐安装的第三方插件有关系,然后把插件关闭,点击登录失败,说明问题解决,然后再输入自己的账户和密码就可以登录成功。2、更改完后、登录失败 出现CSRF token is incorrect。1、DVWA安装初始化后,需要更改php-ini文件。
DVWA暴力破解token
zguohuai的博客
03-12 502
暴力破解token
DVWAToken机制_tocken,网络安全研发岗面试复盘总
weixin_58134620的博客
04-17 882
Token的加密可以使用后对称加密也可以使用非对称加密,完全取决于Token认证服务器的业务需要。另外,Session变量的存储需要内存或硬盘空间,并且无法支持多服务器多应用共享Session,比如你的企业中有PHP和Java开发的多套应用系统,那么如果内部员工要使用多个应用,就需要在每个应用中去登录,非常麻烦。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全学习路线到学习资料,甚至是工具有着不小的需求。
DVWA high token暴力破解
浅笑996的博客
11-02 885
一、选择Pitchfork模式。选择要爆破的参数 二、配置Options 找到optiops(设置)把线程设为1 配置Grep=Extract,点添加 点击Refetch response 获取返回的包,找到返回的token值,选中并复制下来。点击确定(注意:一定要在选中token的状态下点击确定) 滑到设置的最下面,选择always 三、配置Payloads 找到Payloads 设...
DVWACSRF
RexHa的博客
09-30 7413
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
DVWACSRF漏洞(详细)
热门推荐
qq_44720671的博客
07-26 1万+
CSRF简介 csrf全称为:Cross-site request forgery,是一种常见的web攻击。在场景中,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 与xss的区别:csrf是借助用户的权限完成攻击,攻击者并没有拿到权限;而xss是直接盗取用户权限去进行破坏。 更改难度: 点击dvwa security,选择难度,然后点击submit...
Token如何防止CSRF漏洞
Ethan024的博客
03-20 1295
Token如何防止CSRF漏洞 CSRF的主要问题是敏感操作的链接容易被伪造,因此每次请求,都添加一个随机码(需要足够长度,足够随机,不容易被伪造),后台每次对这个随机码进行验证。 实验环境: 皮卡丘靶场CSRF Token 实验步骤: 输入用户名和密码:lucy/123456 修改信息,将ShangHai修改为ShangHai xxx,并且用burpsuite抓包,可看见响应头设置的Token值。 查看后端源代码,发现input标签里面有个token: 将响应头复制出来进行修改 再重
DVWA-CSRF
ahannn的博客
02-15 3016
欢迎各位指出错误以及补充有关知识,这一系列用于个人学习记录,在记录DVWA的同时也记录所用的相关知识,尽可能详细写,如果能帮到和我一样的安全小白我很荣幸 文章目录 一 CSRF是什么? 二 CSRF防御与攻击原理 三 DVWA分析 1.low 2.medium 3.high 总结 一、CSRF是什么? CSRF 跨站点请求伪造(Cross—Site Request Forgery) 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求...
复现关于dvwaCSRF-token绕过实验
05-05
DVWA中,我们可以通过修改一个cookie来绕过CSRF-token。 下面是具体的攻击步骤: 1. 打开DVWA,登录并进入CSRF实验页面。 2. 在Chrome浏览器中打开开发者工具,切换到“Network”选项卡,勾选“Preserve log”...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江畔有雨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值