devbox
黑客灵魂
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

DVWA靶场通关----(3) CSRF教程_dvwacsrf教程

作者:黑客灵魂 | 2024-08-26 23:14:54

dvwacsrf教程

CSRF(跨站请求伪造)

CSRF(跨站请求伪造),全称为Cross-site request forgery,简单来说,是攻击者利用受害者尚未失效的身份认证信息,诱骗受害者点击恶意链接或含有攻击代码的页面,在受害者不知情的情况下以受害者的身份像服务器发起请求,从而实现非法攻击(改密)。

CSRF主题:

Low

源码解析

  1. <?php
  2.  
  3. if( isset( $_GET[ 'Change' ] ) ) {
  4.     // Get input
  5. //获取两个输入框的密码
  6.     $pass_new  = $_GET[ 'password_new' ];
  7.     $pass_conf = $_GET[ 'password_conf' ];
  8.  
  9.     // Do the passwords match?
  10. //查看两次输入的是否一致
  11.     if( $pass_new == $pass_conf ) {
  12.         // They do!
  13. //如果一致就直接插入数据库
  14.         $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
  15.         $pass_new = md5( $pass_new );
  16.  
  17.         // Update the database
  18.         $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
  19.         $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
  20.  
  21.         // Feedback for the user
  22.         echo "<pre>Password Changed.</pre>";
  23.     }
  24.     else {
  25.         // Issue with passwords matching
  26.         echo "<pre>Passwords did not match.</pre>";
  27.     }
  28.  
  29.     ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
  30. }
  31.  
  32. ?>

  通过GET方式获取两次密码,两次密码输入一致的话,就可以直接带入数据中修改密码。

漏洞复现

(1)先来做个尝试,将密码改成123456,两次都输入123456,发现直接修改成功了

 (2)测试一下密码123456,先测试一下原来的密码(原来的密码就是你登录DVWA的密码)

 原来的密码很明显已经不行了,接下来试一下123456

 (3)经过上面的尝试发现可以成功修改账号密码,而且我们发现了URL那里的变化,接下来我们从URL处入手再改一下,首先先重置一下数据库,把密码改回来。

在 C:\phpstudy_pro\WWW 文件夹中建立一个 1.html ,里面写入

  1. <img src="http://127.0.0.3/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#" border="0" style="display:none;"/>
  2.  
  3. <h1>404<h1>
  4.  
  5. <h2>file not found.<h2>

这样的话,当我们打开 1.html 文件的时候,密码就会被修改成123456,(诱骗受害者点击这个1.html文件)

Medium

源码解析

  1. <?php
  2.  
  3. if( isset( $_GET[ 'Change' ] ) ) {
  4.     // Checks to see where the request came from
  5. //stripos(str1, str2)检查str2在str1中出现的位置(不区分大小写),如果有返//回True,反之False
  6. //判断Host字段是否出现在referer字段中
  7.     if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
  8.         // Get input
  9.  
  10.         $pass_new  = $_GET[ 'password_new' ];
  11.         $pass_conf = $_GET[ 'password_conf' ];
  12.  
  13.         // Do the passwords match?
  14.         if( $pass_new == $pass_conf ) {
  15.             // They do!
  16.             $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
  17.             $pass_new = md5( $pass_new );
  18.  
  19.             // Update the database
  20.             $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
  21.             $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
  22.  
  23.             // Feedback for the user
  24.             echo "<pre>Password Changed.</pre>";
  25.         }
  26.         else {
  27.             // Issue with passwords matching
  28.             echo "<pre>Passwords did not match.</pre>";
  29.         }
  30.     }
  31.     else {
  32.         // Didn't come from a trusted source
  33.         echo "<pre>That request didn't look correct.</pre>";
  34.     }
  35.  
  36.     ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
  37. }
  38.  
  39. ?>

  Medium级别的代码检查了保留变量 HTTP_REFERER(http包头的Referer参数的值,表示来源地址)中是否包含SERVER_NAME(http包头的Host参数,及要访问的主机名,这里是127.0.0.3),希望通过这种机制抵御CSRF攻击

漏洞复现

其实意思是这个referer中只要出现Host就可以正常操作

恶意网站中是这样的,显然是不成立的

Host 127.0.0.3

Referer http://127.0.0.1/

如果是这样的呢

Host 127.0.0.3

Referer http://127.0.0.1/127.0.0.3.html

这样就可以绕过,从而实现改密的操作了。

High

源码解析

  1. <?php
  2.  
  3. if( isset( $_GET[ 'Change' ] ) ) {
  4.     // Check Anti-CSRF token
  5. //可以看到加入了token机制
  6.     checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
  7.  
  8.     // Get input
  9.     $pass_new  = $_GET[ 'password_new' ];
  10.     $pass_conf = $_GET[ 'password_conf' ];
  11.  
  12.     // Do the passwords match?
  13.     if( $pass_new == $pass_conf ) {
  14.         // They do!
  15.         $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
  16.         $pass_new = md5( $pass_new );
  17.  
  18.         // Update the database
  19.         $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
  20.         $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
  21.  
  22.         // Feedback for the user
  23.         echo "<pre>Password Changed.</pre>";
  24.     }
  25.     else {
  26.         // Issue with passwords matching
  27.         echo "<pre>Passwords did not match.</pre>";
  28.     }
  29.  
  30.     ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
  31. }
  32.  
  33. // Generate Anti-CSRF token
  34. generateSessionToken();
  35.  
  36. ?>

  High级别的代码增加了Anti-CSRF token机制,用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端请求。

漏洞复现

  思路:利用xss,xss可以执行代码,获取token(在这路利用XSS其实是获取的cookie值,但是cookie值中是包含token值的,所以在这个地方我们使用XSS执行。参考文章:https://www.cnblogs.com/zhaof/p/6281482.html)

(1)利用XSS获取cookie

<script>alert(document.cookie)</script>

复制: PHPSESSID=8kha1nlrqamui5c8n6k1au4md1; security=low

(2)抓包修改密码

Impossible

源码分析

  1. <?php
  2.  
  3. if( isset( $_GET[ 'Change' ] ) ) {
  4.     // Check Anti-CSRF token
  5.     checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
  6.  
  7.     // Get input
  8. //输入原来的密码
  9.     $pass_curr = $_GET[ 'password_current' ];
  10.     $pass_new  = $_GET[ 'password_new' ];
  11.     $pass_conf = $_GET[ 'password_conf' ];
  12.  
  13.     // Sanitise current password input
  14.     $pass_curr = stripslashes( $pass_curr );
  15.     $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
  16.     $pass_curr = md5( $pass_curr );
  17.  
  18.     // Check that the current password is correct
  19.     $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
  20.     $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
  21.     $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
  22.     $data->execute();
  23.  
  24.     // Do both new passwords match and does the current password match the user?
  25.     if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
  26.         // It does!
  27.         $pass_new = stripslashes( $pass_new );
  28.         $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
  29.         $pass_new = md5( $pass_new );
  30.  
  31.         // Update database with new password
  32.         $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
  33.         $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
  34.         $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
  35.         $data->execute();
  36.  
  37.         // Feedback for the user
  38.         echo "<pre>Password Changed.</pre>";
  39.     }
  40.     else {
  41.         // Issue with passwords matching
  42.         echo "<pre>Passwords did not match or current password incorrect.</pre>";
  43.     }
  44. }
  45.  
  46. // Generate Anti-CSRF token
  47. generateSessionToken();
  48.  
  49. ?>

漏洞复现

  要求我们先输入密码再修改,攻击者不知道原始密码的情况下是无法发起 CSRF 攻击的。

常见防范措施

1、加入Anti-CSRF,每次向客户端发送一个随机数,当客户端向服务器发送数据时对比随机数从而确定身份
2、获取当前用户密码,以此判断是否为当前用户操作
3、二次确认(提示、二次密码、验证码)

声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号