代码审计——DVWA CSRF(跨站请求伪造)

最新推荐文章于 2023-12-13 19:20:47 发布
最新推荐文章于 2023-12-13 19:20:47 发布
阅读量409 收藏 1
点赞数
分类专栏: 代码审计 文章标签: php 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z1756227332/article/details/104690299
版权

LOW等级代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

分析代码
pass_new 和 pass_conf 变量获取传参值
if( $pass_new == $pass_conf ) 判断两次输入的密码是否一致mysqli_real_escape_string()函数是个简单的防止SQL注入的函数 这个出现过很多次了。 $pass_new = md5( $pass_new )对输入的密码进行MD5加密存入数据库中

这个SQL语句就是update 修改密码的语句 ,pass_new是新密码进行MD5加密后的值。dvwaCurrentUser()方法就是获取用户名。

$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"

这里既没有token验证也没有什么过滤是存在csrf漏洞,我们来验证一下csrf 漏洞
正常流程这里密码修改成为aaaa
http://192.168.1.4/DVWA/vulnerabilities/csrf/?password_new=aaaa&password_conf=aaaa&Change=Change#
在这里插入图片描述
我们来用CSRF来修改一下密码
用burp抓包构造POC 复制代码保存成html文件
在这里插入图片描述
我们访问存在恶意代码的html文件,点击按钮,发送修改的密码的请求在这里插入图片描述
这里就将账号密码修改了,我们进入数据库中查看,进行md5解密
在这里插入图片描述
在这里插入图片描述

Medium等级代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

分析代码
medium等级的代码和low等级的代码差不都就是多了个判断。
在这里插入图片描述
stripos() 函数查找字符串在另一字符串中第一次出现的位置,如果存在就是true否则就是false。
$_SERVER[‘HTTP_REFERER’] 获取前一页面的 URL 地址
$_SERVER[‘SERVER_NAME’] //服务器主机的名称。
我们来输出一下看看
在这里插入图片描述
在这里插入图片描述
这里就是判断SERVER[‘SERVER_NAME’]字符串中的数据是否在SERVER[‘HTTP_REFERER’]中存在。

如何将SERVER[‘HTTP_REFERER’]字符串中有 SERVER[‘SERVER_NAME’]的值呢?我们可以通过修改文件名的方式来进行绕过。
比如:
这个是存在CSRF的网站SERVER[‘SERVER_NAME’] = www.1234.com
这是攻击者的服务器SERVER[‘HTTP_REFERER’] =http://www.dd.com/csrfpoc.html

这个规则会检测http://www.dd.com/csrfpoc.html 中是否存在www.1234.com,如果不存在就不会修改密码。
直接把文件名csrfpoc.html 修改成 => www.1234.com.html

Heig等级代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

分析代码
checkToken( $_REQUEST[ ‘user_token’ ], $_SESSION[ ‘session_token’ ], ‘index.php’ );这个是验证前端token的值和session_token的值是是否一致。每次刷新访问token值都会发生改变;对代码来说这里已经防止了CSRF漏洞。

impossible等级代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

分析代码 $pass_curr = $_GET[ ‘password_current’ ];这个变量是获取之前的旧密码的变量,在修改账号密码之前会进行判断,如果旧密码不正确新密码就无法修改,这存在token验证以及需要输入旧密码所以这里就凉掉了。

霓虹灯啊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dvwa csrflowmedium、high级别漏洞实战
永不垂头的博客
08-11 5120
Dvwa csrf低中高级别漏洞实战 Low 源代码如下: GLOBALS:引用全局作用域中可用的全部变量。GLOBALS :引用全局作用域中可用的全部变量。GLOBALS:引用全局作用域中可用的全部变量。GLOBALS 这种全局变量用于在 PHP 脚本中的任意位置访问全局变量(从函数或方法中均可)。PHP 在名为 $GLOBALS[index] 的数组中存储了所有全局变量。变量的名字就是数组的键。 从源代码可以看出这里只是对用户输入的两个密码进行判断,看是否相等。不相等就提示密码不匹配。 相等的话,查看
CSRF跨站请求伪造
kkaicc5200714的博客
04-09 147
CSRF跨站请求伪造 原理总结: 一个CSRF漏洞攻击的实现,其需要由“三个部分”来构成 1,有一个漏洞存在(无需验证,任意修改后台数据,新增请求) 2,伪装数据操作请求的恶意链接或者页面 3,诱使用户主动访问或登录恶意链接,触发非法操作 第一部分 漏洞的存在 关键字:跨站请求漏洞(CSR:Cross Site Request) 如果需要CSRF攻击能够成功,首先就需要目标站点或系统存在一个可以进行数据修改或者新增操作,且此操作被提交后台后的过程中,其未提供任何身份识别或校验的参数,后台只要收到请求,就立即
php之$_SESSION的理解,session原理总结
weixin_35682327的博客
03-18 4141
我不生产知识,只做知识的搬运工 知其所以然,了解背后的思想,简单复制模仿学不到本质之前在学校的时候,只知道session与cookie的区别在于:session是保存在服务器端,cookie保存在客户端。session怎么样保存的?以文件的形式保存。自己去测试过。有的忘记了。对应session的id号模糊不清。在开发中,非常有必要弄明白具体细节。不能停留在使用session_start()函数了,...
代码审计中的常见漏洞【一】
Kali与编程
12-13 938
当用户在恶意网站中点击该表单时,表单数据会被自动提交到Web服务器,由于该请求中包含了Cookie,因此Web服务器会认为该请求是由该用户发起的,从而执行相应的操作。当用户在恶意网站中点击该链接时,浏览器会自动向Web服务器发送请求,由于该请求中包含了Cookie,因此Web服务器会认为该请求是由该用户发起的,从而执行相应的操作。当用户访问恶意网站时,浏览器会自动向Web服务器发送请求,由于该请求中包含了Cookie,因此Web服务器会认为该请求是由该用户发起的,从而执行相应的操作。
CSRF跨站请求伪造漏洞原理及代码审计
11-05
课程声明:该课程是教学使用,视频内涉及漏洞利用方法,请勿在互联网环境中使用;维护互联网网络安全,人人有责。课程说明:课程为CISP-PTE子课程。实验所需环境:vmware;windows server一台;环境下载地址:实验环境下载地址在购买后单独发送课程主要解决问题:1、搞明白什么是,CSRFSRF能做什么事情?2、CSRF和XSS有什么区别?3、搞明白CSRF的漏洞代码到底是什么样?逐行读代码让你看透CSRF。4、搞懂CSRF的防御方法。 如果有以上困惑赶紧学习吧,Margin老师工作日一般都是30分钟就能为你解答疑惑,沟通无延时、无障碍。
DVWA--CSRF跨站请求伪造
weixin_50342860的博客
08-19 169
目录风险lowmediumhigh修复CSRF与XSS区别: 风险 利用用户的尚未失效的身份认证的信息(cookie、会话等)构造恶意链接,骗用户点击,在用户不知情的情况下利用其的身份完成一些恶意操作(转账、修改密码等)。 low 查看代码可以看出这里只是对用户输入的两个密码进行判断,看是否相等。不相等就提示密码不匹配。 尝试密码不一致时,查看url的变化 尝试密码一致时,查看url的变化 这里我们伪造一个恶意链接(下面的ip要改成自己的), 当用户点击,密码也就修改成功 现实生活中,使用工具可将这个
DVWACSRF跨站请求伪造
ximo的博客
01-28 338
DVWACSRF跨站请求伪造) 目录DVWACSRF跨站请求伪造)原理低等级一般方法利用poc实现结合存储型XSS利用中等级等级与XSS进行比较 原理 利用受害者尚未失效的身份认证信息、会话;诱骗其访问黑客设计好的页面,在受害人不知情的情况下以受害人的身份向服务器发送请求,完成非法操作。 框图: 低等级 一般方法 当前登录用户:1337 进行抓包: 构造恶意链接发送给受害者并使其访问: 当前登录用户:admin 访问恶意链接: 密码已被修改。 利用poc实现 抓包获取信息,右键选择poc生
跨站攻击(XSS+CSRF).docx
最新发布
01-05
攻击的关键在于攻击者可以伪造用户的请求,而目标网站无法区分这个请求是否来自真正的用户。 为了防范CSRF攻击,通常有以下几种策略: 1. 验证Token:在每个可能执行敏感操作的表单中添加一个随机的、一次性有效的...
pikachu,dvwacsrf详细步骤
05-17
1. CSRF跨站请求伪造):CSRF是一种网络攻击方式,攻击者通过构造恶意请求,利用受害者在目标网站上的已登录身份执行非预期的操作。在这个例子中,Pikachu和DVWA(Damn Vulnerable Web Application)是用于教学...
PHP-dvwa-高难度代码审计
10-08
PHP-dvwa-高难度代码审计
DVWA源代码
10-16
DVWA源代码详解——深度剖析Web安全漏洞与防护》 DVWA(Damn Vulnerable Web Application)是一款专门用于Web安全教育的开源应用,其全称为“极其易受攻击的Web应用”。DVWA的设计目的是为安全专业人员提供一个...
代码审计基础-漏洞银行大咖面对面2-SHIELD
07-31
### 代码审计基础知识点 #### 一、代码审计PHP **代码审计**是一种系统性的检查软件源代码的过程,旨在识别潜在的安全问题、逻辑错误或不符合编程标准的代码。随着网络安全日益受到重视,代码审计成为了确保应用...
白帽子挖洞—跨站请求伪造CSRF)篇
蚁景网安学院
08-04 424
点击“合天智汇”关注,学习网安干货 0x00 介绍 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Sess...
DVWA-CSRF跨站请求伪造 -High级别
xmj818719的博客
02-27 1461
基础知识介绍csrf攻击流程 实验环境: CSRF模拟攻击环境(这里是内网环境,公网只需要对端口进行映射即可,其他操作同理) CentOS7 DVWA服务器(模拟转账系统) 192.168.0.9 kali 黑客(攻击者) 192.168.0.2 Win10 用户(受害者) 192.168.0.5 1使用条件: 1、使用关闭XSS的chrome浏览器 新建chrome浏览器快捷方式 “C:\Program Files (x86)\Google\Chrome\chrome-xss.e
N4 DVWA CSRF(跨站请求伪造)
尐猴子君ii的博客
08-17 207
一、概念 CSRF是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或访问包含攻击代码的页面,在受害者不知情的情况下以受害者身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别在于,CSRF没有盗取cookie,而是直接利用。 二、Low级别 1.代码审计 我们可以看见,Low级别的代码,只进行了两次密码比对,如果成功就直接修改。 2.漏洞测试 我们首先进行一次正常的修改密码访问 我们可以看到地址栏变为了如下的内容
CSRF02】跨站请求伪造——DVWA靶场实操(含CSRF+XSS协同攻击实验)
Fighting_hawk的博客
03-15 7054
1. 掌握网页相关语言中各种标签的运用; 2. 灵活使用XSS注入代码; 3. 掌握CSRF攻击的方法; 4. 掌握XSS+CSRF协同攻击的方法。
CSRF漏洞
武天旭的博客
10-05 1652
一、漏洞描述 跨站请求伪造攻击。 攻击者在用户浏览网页时,利用页面元素(例如img的src),强迫受害者的浏览器向Web应用程序发送一个改变用户信息的请求。 由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信息被迫修改,更严重者引发蠕虫攻击。
DVWA-CSRF跨站请求伪造 MediumLow级别
xmj818719的博客
02-27 308
1代码分析 过滤条件 if( stripos( $SERVER[ 'HTTP_REFERER' ] ,$SERVER[ 'SERVER_NAME' ]) !== false ) 判断,$SERVER[ 'SERVER_NAME' ]在 $SERVER[ 'HTTP_REFERER' ] 中是否存在,寻找第一次出现的地址 $_SERVER[ ' SERVER_NAME' ] 网站的地址 192.168.0.9 $_SERVER[ 'HTTP_REFERER' ] 请求发起着地址 192.1.
代码审计——DVWA DOM Based Cross Site Scripting (XSS) DOM型XSS
z1756227332的博客
03-13 1160
关于三种XSS类型的流程 DOM型 代码 -> 浏览器(js) 反射性型 代码 -> 浏览器 ->php -> 浏览器 存储性型 代码->浏览器->PHP->数据库->php->浏览器 Low等级代码 <?php 这个意思就是没有过滤 输入什么就会输出什么。 # No protections, anything goes 没有保护,什么都...
dvwa跨站请求伪造 (csrf)
09-13
DVWA(Damn Vulnerable Web Application)是一个开放源代码的漏洞测试应用程序,旨在帮助开发人员和安全专家测试和练习Web应用程序的安全性。跨站请求伪造CSRF)是一种攻击方式,利用用户已经通过身份验证的会话执行非预期的操作。 在DVWA中,CSRF可以被用作一种漏洞进行攻击。攻击者可以通过在受害者浏览器中注入恶意代码或链接,来诱使用户执行某些不希望的操作,例如更改密码、发送消息等。这是因为DVWA没有实施足够的防护措施来防止CSRF攻击。 为了防止CSRF攻击,开发人员应该在应用程序中实施一些防护措施。这些措施包括使用随机化的令牌(CSRF Token)来验证每个请求,设置正确的HTTP头部,限制敏感操作的访问权限等。对于DVWA,你可以通过修改代码或使用防护工具,如Web应用程序防火墙(WAF),来加强对CSRF攻击的防护。 总之,跨站请求伪造CSRF)是一种常见的Web应用程序安全漏洞,可以通过实施适当的防护措施来减轻其风险。在DVWA中,你可以使用这个漏洞进行测试和学习,以增进对Web应用程序安全的理解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值