DVWA 之 Cross Site Request Forgery (CSRF)

最新推荐文章于 2024-05-22 22:09:28 发布
最新推荐文章于 2024-05-22 22:09:28 发布
阅读量2.2k 收藏 4
点赞数 3
文章标签: DVWA CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014029795/article/details/101242520
版权

汇总链接:

https://baynk.blog.csdn.net/article/details/100006641
------------------------------------------------------------------分割线------------------------------------------------------------------
CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。

下面对四种级别的代码进行分析。

Low

服务器端核心代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {	//判断是否有点击Change参数
    // Get input
    $pass_new  = $_GET[ 'password_new' ];	//获取新密码
    $pass_conf = $_GET[ 'password_conf' ];	//获取确认的新密码

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {	//如果两次输入密码相同
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );	//将新密码进行md5保存

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";	//更新密码
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

可以看到,服务器收到修改密码的请求后,会检查参数password_new与password_conf是否相同,如果相同,就会修改密码,并没有任何的防CSRF机制(当然服务器对请求的发送者是做了身份验证的,是检查的cookie,只是这里的代码没有体现,比如我现在用的是Firefox,如果换成Chrome就无法成功修改)。

漏洞利用

http://192.168.181.146/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#

当受害者点击了这个链接,他的密码就会被改成password,注意这里一定需要使用另外一个浏览器或者虚拟机去打开这个链接才能完成测试。在这里插入图片描述
当然这种攻击显得有些拙劣,链接一眼就能看出来是改密码的,而且受害者点了链接之后看到这个页面就会知道自己的密码被篡改了;
现实攻击场景下,这种方法需要事先在公网上传一个攻击页面,诱骗受害者去访问,真正能够在受害者不知情的情况下完成CSRF攻击。这里为了方便演示,就在本地写一个test.html,下面是具体代码。

<img src="http://192.168.181.146/dvwa/vulnerabilities/csrf/?password_new=hack&password_conf=hack&Change=Change#" border="0" style="display:none;"/>
<h1>404</h1>
<h2>file not found.</h2>

当受害者访问test.html时,会误认为是自己点击的是一个失效的url,但实际上已经遭受了CSRF攻击,密码已经被修改为了hack。
在这里插入图片描述

Medium

服务器端核心代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {	//判断是否有传入Change
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {	//判断referer字段中是否包含服务器IP
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {	//判断两次密码是否相同
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );	//md5加密密码

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";	//更新密码
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

相关函数说明

int stripos(string string, string pattern)
检查string中是第一次出现pattern的位置(不区分大小写),。
可以看到,Medium级别的代码检查了保留变量 HTTP_REFERER(http包头的Referer参数的值,表示来源地址)中是否包含SERVER_NAME(http包头的Host参数),希望通过这种机制抵御CSRF攻击。

漏洞利用

过滤规则是http包头的Referer参数的值中必须包含主机名,所以直接用Burpsuite来修改增加Referer。如果是生活当中可以在把文件放在本机上命名为[server_name].html,然后跳转到目标页面即可,那时的referer应该是http://本机IP/服务器IP.txt,同样也是满足条件的,不一定是要从server上跳转,利用文件名也可以绕过。
在这里插入图片描述

High

服务器端核心代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );	//先检查token

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,High级别的代码加入了Anti-CSRF token机制,用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端的请求。

漏洞利用
要绕过High级别的反CSRF机制,关键是要获取token,我这里没有太好的有效方法解决。

Impossible

服务器端核心代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];	//要求输入当前密码
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );	//增加了防注入功能
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,Impossible级别的代码利用PDO技术防御SQL注入,至于防护CSRF,则要求用户输入原始密码(简单粗暴),攻击者在不知道原始密码的情况下,无论如何都无法进行CSRF攻击。

baynk
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DVWA1.10_CSRF
whime
07-11 329
LOW 服务器收到提交的新密码和确认密码之后,比较是否相同,相同则修改密码,没有任何防护机制。此处可以简单构造带有参数的链接诱导用户点击: http://192.168.29.128/DVWA-master/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change# 但是点击之后会出现修改成功页面,用户很容易发现密码已经被修改了。 攻击者还可以诱导用户访问特定页面,将链接隐藏在标签中.
Dvwa csrf之low、medium、high级别漏洞实战
永不垂头的博客
08-11 5058
Dvwa csrf低中高级别漏洞实战 Low 源代码如下: GLOBALS:引用全局作用域中可用的全部变量。GLOBALS :引用全局作用域中可用的全部变量。GLOBALS:引用全局作用域中可用的全部变量。GLOBALS 这种全局变量用于在 PHP 脚本中的任意位置访问全局变量(从函数或方法中均可)。PHP 在名为 $GLOBALS[index] 的数组中存储了所有全局变量。变量的名字就是数组的键。 从源代码可以看出这里只是对用户输入的两个密码进行判断,看是否相等。不相等就提示密码不匹配。 相等的话,查看
CSRF 攻击详解
最新发布
只为成功找方法 不为失败找借口
05-22 1019
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
DVWACSRF高级
m0_73896875的博客
07-11 278
(2)再次访问CSRF页面Token值发生了变化,可以确定DVWA生成Token的机制是每次不一样/页面,然后从相应中取得Token(通过正则表达式提取)取得后在将Token和新密发一起发送给。处理方式:先切换到Low级,在留言本里注入以下脚本,然后在切换到High级,直接触发改密。(High级别无法实现)(4)先构造一个Javascript原生代码发送AJAX请求的代码。(1)访问CSRF页面,在页面的源代码中可以看到生成的Token。在high级别中,屏蔽了标签,所以无法直接利用。
DVWA通关攻略之跨站请求伪造
勿山几已
05-12 516
介绍CSRF攻击并简单演示攻击过程。
代码审计—DVWACSRF—high
王嘟嘟的博客
10-31 961
0x00 前言 如饥似渴的学习ing。 你可能需要看看: https://blog.csdn.net/qq_36869808/article/details/83029980 0x01 start 1.黑盒测试 发现这里带了Token。 说实话我不会利用,哈哈。直接白盒看看吧。 白盒 通过和这个来判断Token,但是这里网上都说可以通过xss来获取session来进行判断。然后进行伪造等等,但...
DVWA通关详解
weixin_45808483的博客
11-19 3546
Vulnerability: Brute Force Security level is currently: low. 分析源码: 没有做身份验证 <?php //检查变量是否设置(先看有没有Login参数) if( isset( $_GET[ 'Login' ] ) ) { //获取密码,存入pass变量中 $user = $_GET[ 'username' ]; //获取密码 $pass = $_GET[ 'password' ]; //将密码使用md5加密 $
DVWA的靶场安装教学
06-08
3. Cross-Site Request ForgeryCSRF):DVWA靶场提供了CSRF漏洞测试场景,用户可以学习如何进行CSRF攻击和防御。 五、结语 DVWA靶场安装教学是学习Web应用程序安全测试的不二之选。通过DVWA靶场,用户可以学习和...
DVWA-master.zip
03-13
4. 跨站请求伪造(Cross-Site Request Forgery, CSRF):CSRF是一种攻击方式,攻击者诱使用户在不知情的情况下执行恶意操作。在DVWA中,你可以了解如何设置适当的CSRF防护机制。 5. 认证与会话管理(Authentication...
DVWA练习平台
04-24
5. **跨站请求伪造(Cross-Site Request Forgery, CSRF)**:CSRF攻击利用用户已登录的身份执行非预期操作。在DVWA中,用户可以学习如何设置有效的CSRF令牌,以防止这种类型的攻击。 6. **弱认证与会话管理**:DVWA...
DVWA的压缩文件安装包下载
09-30
6. **CSRF(跨站请求伪造)**:DVWA的"Cross Site Request Forgery"模块教你如何通过伪装成用户的合法请求来欺骗用户执行操作。了解如何添加CSRF令牌和其他防护措施是必要的。 7. **权限绕过**:"Access Control...
跨站请求伪造CSRF(Cross-site request forgery
石页
01-30 2706
目录 一、什么是CSRF 二、可能存在CSRF攻击的三个条件 一个相关的动作 基于 Cookie 的会话处理 没有不可预测的请求参数 二、常见的CSRF攻击 1、CSRF令牌的验证取决与请求方法 2、CSRF令牌的验证取决与令牌是否存在 3、CSRF令牌没有绑定到会话 4、CSRF令牌绑定到非会话cookie 5、CSRF令牌复制于COOKIE 6、基于Referer的CSRF防御...
前端安全系列之二:如何防止CSRF攻击?
weixin_34416754的博客
10-12 363
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端...
DVWA 之跨站请求伪造(CSRF
弱弱的小雨鸟
01-21 1366
CSRF(Cross Site RequestForgery),跨站请求伪造,是利用受害者尚未失效的身份验证信息,诱导其访问其他包含非法、恶意代码的页面,在受害者不知情的情况下向服务器发送请求,完成改密、转账等行为。跨站请求伪造是一种十分危险的Web安全攻击,利用的是网站对用户浏览器的信任,通常攻击者会通过电子邮件、聊天工具或者论坛来发送链接。如果使用不可见的img标签(宽高为0或者display
DVWA 黑客攻防演练(十四)CSRF 攻击 Cross Site Request Forgery
weixin_30587025的博客
01-03 190
这么多攻击中,CSRF 攻击,全称是Cross Site Request Forgery,翻译过来是跨站请求伪造可谓是最防不胜防之一。比如删除一篇文章,添加一笔钱之类,如果开发者是没有考虑到会被 CSRF 攻击的,一旦被利用对公司损失很大的。 低级 界面如下,目的是实现修改密码 低级代码如下 <?php if( isset( $_GET[ 'Change' ] ) ) { /...
【渗透测试】【DVWACSRF
preserphy的博客
08-07 1556
CSRF】 全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。...
通过DVWA教你学会CSRF攻击
Monsterlz123的博客
07-18 2201
CSRF】通过DVWA教你学会CSRF攻击 Hello 各位小伙伴大家好~ 这里是熬夜在写公众号的小编… 话说小编身边又有小伙伴脱单了,今天依然是为别人爱情流泪的一天… 唉,无心写公众号(自暴自弃中~) 今天就一起来看看,什么是CSRF攻击吧… Part 1:什么是CSRF攻击? CSRF(Cross-Site Request Forgery)跨站点请求伪造。 是指利用受害者未失效的身份...
新手指南:DVWA全级别教程之CSRF
g695144224的博客
08-09 2777
转自:http://www.freebuf.com/articles/web/118352.html DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是Brute
dvwa csrf
07-27
CSRF(Cross-Site Request Forgery)是一种常见的Web应用程序安全漏洞,攻击者通过利用用户在已认证的应用程序上执行未经授权的操作。DVWA(Damn Vulnerable Web Application)是一个用于练习和学习Web应用程序安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值