DVWA—CSRF(跨站请求伪造)

最新推荐文章于 2024-04-17 10:41:01 发布
最新推荐文章于 2024-04-17 10:41:01 发布
阅读量603 收藏 3
点赞数 2
分类专栏: DVWA通关教程 文章标签: 安全漏洞 靶机 渗透测试
本文链接:https://blog.csdn.net/weixin_59679023/article/details/121017060
版权

实验环境

DVWA靶机:172.16.12.10 

windos攻击机:172.16.12.7

kali攻击机:172.16.12.30

实验步骤

一、Low级

1、源码分析

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
//获取两个输入框的密码
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
//查看两次输入的是否一致
    if( $pass_new == $pass_conf ) {
        // They do!
//如果一致就直接插入数据库
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

可以看到,服务器收到修改密码的请求后,会检查参数password_new与password_conf是否相同,如果相同,就会修改密码,并没有任何的防CSRF机制(当然服务器对请求的发送者是做了身份验证的,是检查的cookie,只是这里的代码没有体现,比如我现在用的是Firefox,如果换成Chrome就无法成功修改)。

2、漏洞复现

打开Brup,选择CSRF,先随便写两个不一样的密码

抓包发现没有token

构造恶意链接

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change

诱骗用户点击这个恶意链接,就会在用户不知情的情况下将密码改为1234

新开一个虚拟机,登录DVWA,改级别为Low,然后访问恶意链接,发现密码直接就更改了

现在的用户安全意识都在慢慢变强,试问哪个用户看到这个URL会去点?怕是小学生都不一定会去点,所以往往会构建一个黑客的站点,而这个站点的名称可以叫test.html或者直接就用默认的index.html,给用户个IP访问,直接就中招了

演示如下:

新建文本文档,输入如下代码,保存为html格式,命名为test.html,假设已上传到DVWA站点

新开一个虚拟机作为用户,登录DVWA,安全等级改为Low,假设该用户访问DVWA的时候点开了刚才的test.html(用任何方法),出现如下界面, 显示的是404,而密码已经被更改 为hack

用原密码登录显示失败,用hack作为密码登录成功

二、Medium级

1、源码分析

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
//stripos(str1, str2)检查str2在str1中出现的位置(不区分大小写),如果有返//回True,反之False
//判断Host字段是否出现在referer字段中
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input

        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

相关函数说明
intstripos(stringstring,stringpattern):
检查string中是第一次出现pattern的位置(不区分大小写),。
可以看到,Medium级别的代码检查了保留变量HTTP_REFERER(http包头的Referer参数的值,表示来源地址)中是否包含SERVER_NAME(http包头的Host参数),希望通过这种机制抵御CSRF攻击。

2、漏洞利用

过滤规则是http包头的Referer参数的值中必须包含主机名,所以直接用Burpsuite来修改增加Referer。如果是生活当中可以在把文件放在本机上命名为[server_name].html,然后跳转到目标页面即可,那时的referer应该是http://本机IP/服务器IP.txt,同样也是满足条件的,不一定是要从server上跳转,利用文件名也可以绕过。

新建文本文档,输入如下代码,保存为html格式,命名为172.16.12.10.html(靶机地址),然后“上传”()至DVWA网页根目录下

构造恶意链接,

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change

在url修改密码,然后抓包,发现referer未定义

且提示请求不正确

直接在页面更改密码然后抓包看一下,发现有referer字段。复制下来备用

那么我们可以使用复制的链接诱导用户点开即可绕过(基本就是change进行了url转码)

新开一个虚拟机,假设用户在这个机器上登录DVWA,安全等级调整为Medium,诱导用户点击恶意链接,

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=%E6%9B%B4%E6%94%B9 ,发现密码成功修改

三、High级

1、源码分析

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
//可以看到加入了token机制
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,High级别的代码加入了Anti-CSRFtoken机制,用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端的请求。

2、漏洞复现

客户端访问修改密码页面->服务器发一个token->用户修改参数的请求中加入了token参数->服务器验证token->成功修改

构建这个恶意链接就不可取了因为token是随机的无法伪造

Medium和High的对比

Medium:客户端访问攻击页面->攻击页面将密码作为参数直接提交到修改密码页面

High:客户端访问攻击页面->攻击页面获取修改密码页面的token->将token和密码作为参数一起提交

问题在这一步上攻击页面获取修改密码页面的token

这一步属于跨域请求,浏览器已经禁止这么做了,所以想要完整这个操作,有两个思路:

第一, 将该js上传到服务器的目录下,这样就是同一个域了,不过如果可以这样,为啥不放木马呢?

第二, 利用xss,xss可以执行代码,获取token

xss更现实一点,但是也得需要该网站存在xss,所以单纯从这个修改密码页面,无法突破High漏洞

这里演示xss存储型 窃取cookie

使用火狐浏览器访问DVWA,点击XSS(存储型),点击浏览器右上角三个横杠——开发者

再点击查看器

搜索txtname,然后修改如下两个值

把如下脚本代码复制到名字(name)栏 ,留言(message)栏随便输入

<iframe src="../csrf/" οnlοad=alert(frames[0].document.getElementsByName('user_token')[0].value)></iframe>

点击提交留言,弹出token值,复制此值d5348cd5781260bf0e365ebb9002d31f

打开BP抓包,然后点击CSRF,修改密码,将红框内链接进行拼接,然后token值换成刚才复制的,构造恶意链接如下

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1111&password_conf=1111&Change=%E6%9B%B4%E6%94%B9&user_token=d5348cd5781260bf0e365ebb9002d31f

新开一个虚拟机,假设用户在这个机器上登录DVWA,安全等级调整为High,诱导用户点击恶意链接,发现密码成功修改

四、Impossible级

1、源码分析

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
//输入原来的密码
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>


可以看到,Impossible级别的代码利用PDO技术防御SQL注入,至于防护CSRF,则要求用户输入原始密码(简单粗暴),攻击者在不知道原始密码的情况下,无论如何都无法进行CSRF攻击。

Cwillchris
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
跨站攻击(XSS+CSRF).docx
01-05
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
pikachu,dvwacsrf详细步骤
05-17
初学者可以参考
DVWA--CSRF(初中高)
firecjh的博客
06-09 754
构造的攻击页面命名成含受害者主机ip的名字。这样referer就能包含了主机名。只要referer中有这个ip,就能绕过。给出自己的截图过程。3)利用存储型XSS-高级,获取token。2)使用bp抓包,修改referer。4)替换token,修改密码成功。分析中级做了什么过滤。中级使用第二种方法,让。在攻击机创建恶意网页。
新手指南:DVWA全级别教程之CSRF
g695144224的博客
08-09 2763
转自:http://www.freebuf.com/articles/web/118352.html DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是Brute
DVWA中的CSRF中级_dvwa csrf中级,神操作
最新发布
weixin_58132019的博客
04-17 792
那么为了构造一个有效的Refere,可以在攻击服务器上创建一个新的HTML页面,并命名为:change_192.168.112.188.html,内容为。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。【完整版领取方式在文末!
DVWA靶场-中级难度
ljlrookiebird的博客
07-31 974
网络安全 - DVWA靶场
【小猪学渗透】打靶第3天:DVWA入门:XSS漏洞、文件包含、CSRF
weixin_43521720的博客
03-20 827
随便输入点东西,发现了,可以输出。输入爆出xss漏洞爆出cookie。攻略上说查看源代码发现<script>标签被限制了,被替换了。(话说我没怎么学php语言这个源代码有点看不大懂,一会去补补)依旧爆出漏洞,说明成功了也可以通过大小写绕过这一部分的php代码算是看明白了,就是一个过滤的意思呗~那么我们使用别的标签也可以达到我们的目的。这个payload不成功,不知道哪里出的什么问题。
DVWA-master.7z 压缩包
09-14
下载到本地,解压缩之后,重命名为DVWA,并将其放在PHPstudy的WWW目录下
kali2021.3安装dvwa靶场
02-24
标题中的“kali2021.3安装dvwa靶场”是指在Kali Linux 2021.3版本中安装DVWA(Damn Vulnerable Web Application)的过程,这是一个广泛用于Web安全学习和实践的模拟靶场。描述中提到,这个教程是为刚接触Kali的爱好...
DVWA通关手册.docx
08-19
文档内部包含DVWA平台,所有类型漏洞低中高等级的攻击过程,非常仔细。也有部分自己的攻击方法,值得一试。
DVWA-命令注入漏洞获取目标shell并提到最高权限[msfvenom]
King_Ho的博客
12-21 2787
MSF攻击Windows实验: 方法一 :通过web站点,使用无文件的方式攻击利用执行 方法二:通过web站点,上传webshell, 返回给msf 方法三:攻击其他端口服务,拿到meterpreter 信息收集-Nmap端口扫描 信息收集总在前 root@kali:~# nmap -sV -T4 xxx.xxx.xxx.xxx Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-29 10:46 CST Not shown: 992 filtered p
DVWA靶机-XSS与CSRF、文件上传的攻击原理、分类、对比以及漏洞演示(low、Medium、Hign、Impossible)
天下著书立传者,皆为我师
03-16 1259
DVWA靶机--讲解XSS与CSRF、文件上传的攻击原理、分类、对比以及漏洞演示(low、Medium、Hign、Impossible)
DVWA靶场---命令执行漏洞源码解析
weixin_50340347的博客
06-09 663
【代码】DVWA靶场---命令执行漏洞源码解析。
DVWACSRF漏洞复现
weixin_43263451的博客
07-19 1022
CSRF(跨站请求伪造)定义跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 基本原理 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:   ...
结合DVWA-CSRF浅析
qq_43660551的博客
03-12 650
CSRF跨站请求伪造。即利用受害者未过期的身份认证信息(cookie、session等),诱导其点击攻击者构造的恶意链接,或者恶意页面,在受害人不知情的情况下,利用(不像XSS那样盗取)受害人有效的身份认证信息,向受害人访问的服务器发送请求,从而完成非法操作,如:改密码、转账等。 一.攻击方法: 1.直接构造恶意链接。(看上去就像是改密码的,反正我不点) 如http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=123&passwor
DVWA系列(五)——使用Burpsuite进行CSRF跨站请求伪造
weixin_45116657的博客
09-18 2040
CSRF(Cross-site request forgery) CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与X...
DVWA通关攻略之跨站请求伪造
勿山几已
05-12 470
介绍CSRF攻击并简单演示攻击过程。
信安小白,一篇博文讲明白CSRF攻击和防御
.G();的博客
10-23 1645
靶机系统:Win7 CSRF攻击和防御前言一、CSRF是什么1.如何判断存在CSRF漏洞?2. 分析中级CSRF源码加固机制3. 分析高级CSRF源码加固机制4. 分析Impossible级CSRF源码加固机制二、XSS和CSRF比较三、CSRF攻击案例四、CSRF防御实验 前言 如果没有XSS漏洞,还能否盗用用户的身份(cookies)呢? DVWA实验目标: 修改用户登录密码。   我们日常生活中,碰到修改密码时,需要填入原密码,才能再修改密码,或者填入密保问题再修改,还有的是使用手机验证码验证后才
dvwa跨站请求伪造 (csrf)
09-13
DVWA(Damn Vulnerable Web Application)是一个开放源代码的漏洞测试应用程序,旨在帮助开发人员和安全专家测试和练习Web应用程序的安全性。跨站请求伪造CSRF)是一种攻击方式,利用用户已经通过身份验证的会话执行非预期的操作。 在DVWA中,CSRF可以被用作一种漏洞进行攻击。攻击者可以通过在受害者浏览器中注入恶意代码或链接,来诱使用户执行某些不希望的操作,例如更改密码、发送消息等。这是因为DVWA没有实施足够的防护措施来防止CSRF攻击。 为了防止CSRF攻击,开发人员应该在应用程序中实施一些防护措施。这些措施包括使用随机化的令牌(CSRF Token)来验证每个请求,设置正确的HTTP头部,限制敏感操作的访问权限等。对于DVWA,你可以通过修改代码或使用防护工具,如Web应用程序防火墙(WAF),来加强对CSRF攻击的防护。 总之,跨站请求伪造CSRF)是一种常见的Web应用程序安全漏洞,可以通过实施适当的防护措施来减轻其风险。在DVWA中,你可以使用这个漏洞进行测试和学习,以增进对Web应用程序安全的理解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cwillchris

你的鼓励将让我产出更多优质干货

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值