2. 程式人生 > 實用技巧 >DVWA大通關(三、CSRF)

DVWA大通關(三、CSRF)

阿新 發佈:2020-11-21

CSRF 跨站請求偽造介紹

跨站請求偽造 (Cross-Site Request Forgery, CSRF),也被稱為 One Click Attack 或者 Session Riding ,通常縮寫為CSRF,是一種對網站的惡意利用。通常利用受害者尚未失效的身份認證資訊(cookie、會話等),誘騙其點選惡意連結或者訪問包含攻擊程式碼的頁面,在受害者不知情的情況下以受害者的身份向伺服器傳送請求,從而完成非法操作(改密)。CSRF與XSS最大的區別在於,CSRF並沒有盜取cookie而是直接利用。

CSRF(low)

進入CSRF,修改密碼為123

修改成功,可以看到連結為get請求,其中中包含了我們要修改的密碼,當然我們可以更改其中的引數
http://192.168.115.130:89/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#


更改新的密碼為123456,在瀏覽器複製以下連結,直接將密碼修改成123456
http://192.168.115.130:89/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#


需要注意的是,必須使用之前登入的瀏覽器開啟連結才能修改成功。所以CSRF攻擊的前提是目標網站存在CSRF,而且受害者需要保持目標站點的登入活動狀態,還需要點選釣魚連結。

  CSRF攻擊的改進:
  1、生成短連結
  2、將CSRF程式碼嵌入其他網頁

<img src="http://192.168.115.130:89/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change#" border="0" style="display:none;"/>

<h1>404<h1>

<h2>file not found.<h2>

程式碼分析:low級別的CSRF原始碼,利用mysql_real_escape_string()函式對$pass_new$pass_conf變數進行了過濾,可以防止SQL注入,但無法阻止CSRF攻擊。

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

CSRF(medium)

程式碼分析:
medium級別的CSRF原始碼,在獲取$pass_new$pass_conf兩個變數之前,先利用if語句以及eregi()函式來判斷"$_SERVER['HTTP_REFERER']"的值是否是主機ip。
stripos()函式查詢字串在另一個字串中第一次出現的位置(不區分大小寫),如何沒有找到返回false。

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?> 

  小筆記:HTTP頭中的Referer欄位,記錄了該HTTP請求的來源地址

上述過濾規則是http的Referer引數的值中必須包含主機名,可以將攻擊頁面命名為ip.html(頁面被放置在攻擊者的伺服器裡)就可以繞過了

CSRF(high)

high級別的程式碼增加了Anti-CSRF token機制,使用者每次訪問改密頁面時,伺服器會返回一個隨機的token,向伺服器發起請求時,需要提交token引數,而伺服器在收到請求時,會優先檢查token,只有token正確,才會處理客戶端請求。

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

只有獲取token才能進行CSRF,但是瀏覽器的跨域問題,不能直接獲取,所以比較難利用。但是如果伺服器存在儲存XSS可以來獲取token, 然後構造url和程式碼進行CSRF利用。所以high級別的CSRF將會組合儲存XSS一起利用。

CSRF(impossible)

與之前不同的是,要求輸入當前密碼的才能修改密碼,進行過濾,使用了PDO避免SQL注入,判斷當前密碼輸入正確且修改的密碼一致時才能生成新的密碼

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

常見防範措施

1、加入Anti-CSRF,每次向客戶端傳送一個隨機數,當客戶端向伺服器傳送資料時對比隨機數從而確定身份
2、獲取當前使用者密碼,以此判斷是否為當前使用者操作
3、二次確認(提示、二次密碼、驗證碼)

相關推薦

DVWA通關CSRF

CSRF 跨站請求偽造介紹 跨站請求偽造 (Cross-Site Request Forgery, CSRF),也被稱為 One Click Attack 或者 Session Riding ,通常縮寫為CSRF,是一種對網站的惡意利用。通常利用受害者尚未失效的身份認證資訊coo

DVWA通關暴力破解

Brute Forcelow Brute Force即為暴力破解,通過列舉獲取管理員的賬號和密碼,一般用於破解後臺管理系統的登入。

DVWA通關命令執行

命令執行介紹 Command Injection,即命令注入,是指通過提交惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。

DVWA通關檔案上傳

檔案上傳漏洞介紹 File Upload,即檔案上傳漏洞,通常是由於對上傳檔案的型別,內容沒有進行嚴格的過濾,檢查,使得可以通過上傳惡意檔案比如webshell獲取伺服器許可權。

Quartz.Net系列十四:詳解Job中兩特性DisallowConcurrentExecutionPersistJobDataAfterExecution

1.DisallowConcurrentExceution 從字面意思來看也就是不允許併發執行 簡單的演示一下

重學資料結構佇列

@目錄1佇列的定義和特點2佇列的基本操作3順序佇列3鏈式佇列4java中的佇列

Superset 1.3圖表篇——透視表-Pivot Table

本系列文章基於Superset 1.3.0版本。1.3.0版本目前支援分佈,趨勢,地理等等型別共59張圖表。本次1.3版本的更新圖表有了一些新的變化,而之前也一直沒有做過非常細緻的圖表教程。

帶你入坑資料 --- MapReduce介紹

前言 在上一篇文章中我們已經瞭解了HDFS的讀寫流程,HA高可用,聯邦和Sequence Files方案,簡單回顧一下HDFS的寫流程吧

go語言20小時從入門到精通運運算元

##3.1 算術運運算元 ##3.2 關係運算子 ##3.3 邏輯運運算元 ##3.4 位運運算元 位運算參考

專案部署docker+Jenkins+springboot部署

使用第一節springboot專案,根節點建立的Dockerfile檔案即可使用 #jdk版本 FROM java:8

http協議請求頭響應頭欄位

原作者: 留七七, 地址:http://www.jianshu.com/p/6e86903d74f7 常用標準請求頭欄位 Accept設定接受的內容型別

深度學習伺服器完整配置手冊GPU顯示卡cuda和驅動一起安裝,docker安裝

引用: https://developer.nvidia.com/cuda-downloads https://blog.csdn.net/FYZ530357172/article/details/79217460

資料實戰十四:電商數倉二十七之使用者行為資料倉庫十三使用者留存主題

1需求目標 1.1使用者留存概念 1.2需求描述 使用者留存分析 2 DWS層 2.1DWS層每日留存使用者明細表

資料實戰十六:電商數倉二十九之使用者行為資料倉庫十五本週迴流使用者數

本週迴流=本週活躍-本週新增-上週活躍 1 DWS層 使用日活明細表dws_uv_detail_day作為DWS層資料

資料實戰十七:電商數倉之使用者行為資料倉庫十六流失使用者數

流失使用者:最近7天未登入我們稱之為流失使用者 1 DWS層 使用日活明細表dws_uv_detail_day作為DWS層資料

資料實戰十八:電商數倉十一之使用者行為資料倉庫十七連續主題

1 最近連續周活躍使用者數 最近3周連續活躍的使用者:通常是週一對前3周的資料做統計,該資料一週計算一次。

資料實戰十九:電商數倉十二之使用者行為資料倉庫十八每個使用者累計訪問次數

0 每個使用者累計訪問次數 結果如下 使用者 日期 小計 總計 mid1 2019-12-14 10 10 mid1 2019-02-11 12 22

資料實戰四十一:電商數倉十四之使用者行為資料倉庫二十與top相關

1 各個商品點選次數top3的使用者 1.1 DWS層 使用日誌資料使用者行為寬表作為DWS層表

資料實戰四十二:電商數倉十五之使用者行為資料倉庫二十一月活躍率

月活躍使用者與截止到該月累計的使用者總和之間的比例 1 DWS層 使用DWS層月活表以及ADS新增使用者表作為DWS層

資料實戰五十二:電商數倉十五之系統業務資料倉庫GMV成交總額

1 ADS層 1.1 什麼是GMV 1.2建表語句 hive (gmall)> drop table if exists ads_gmv_sum_day; create external table ads_gmv_sum_day(