2. 程式人生 > 實用技巧 >新手DVWA-CSRF

新手DVWA-CSRF

阿新 發佈:2020-07-22

CSRF

CSRF (Cross Site Request Forgery)即跨站請求偽造,是一種挾制使用者在當前已登入的Web應用程式上執行非本意的操作的攻擊方法

low

伺服器核心程式碼

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

從程式碼看到,對比了輸入密碼和確認密碼是否相同後,對其進行了防SQL注入的過濾,沒發現防CSRF的功能

解法

直接構造連結:http://192.168.37.141:89/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#

修改成功

medium

伺服器核心程式碼

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

medium難度的程式碼加了對Referer的判斷,需要Referer中包含主機名

解法

burp抓個包 改一下

加入Referer

修改成功

high

伺服器核心程式碼

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

high難度程式碼加入了token來防CSRF,需要在修改密碼時同時提交使用者的token,所以這裡的關鍵是獲取token

常規思路是構造個頁面,在使用者點選的時候,程式碼訪問修改密碼的頁面並獲取token,然後拼接後提交,完成修改,然而現在的瀏覽器都不允許跨域訪問,頁面是不能獲取到token的,所以這裡僅利用CSRF是不能修改密碼的(網上還有很多組合了XSS漏洞的方法,不過利用XSS能獲取cookie應該直接登入也可以了)

impossible

伺服器核心程式碼

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

直接輸入當前密碼,能獲取到token也無解了

相關推薦

新手DVWA-CSRF

CSRF CSRF (Cross Site Request Forgery)即跨站請求偽造,是一種挾制使用者在當前已登入的Web應用程式上執行非本意的操作的攻擊方法

新手DVWA-File Inclusion

File Inclusion File Inclusion即檔案包含,是指使用了包含函式時,由於對引數過濾不當,導致使用者讀取和執行了意料之外的內容和命令

新手DVWA-File Upload

File Upload File Upload即檔案上傳,是指在由於沒有對上傳檔案進行有效過濾的情況下,使使用者上傳非法檔案獲得伺服器許可權

新手DVWA-SQL Injection (Blind)

SQL Injection (Blind) SQL Injection (Blind)即SQL盲注,同樣是由於web應用程式對使用者輸入資料沒有進行過濾或過濾不完全,導致輸入資料破壞原有SQL語句並執行惡意指令,與SQL注入區別在於SQL盲注沒有回顯,無法直

新手DVWA-XSS (Stored)

XSS (Stored) XSS(Cross Site Scripting)即跨站指令碼攻擊,是指由於過濾不當導致惡意程式碼注入網頁,當受害者訪問網頁時,瀏覽器執行惡意程式碼,執行攻擊者的攻擊行為

新手DVWA-XSS (Reflected)

XSS (Reflected) XSS(Cross Site Scripting)即跨站指令碼攻擊,是指由於過濾不當導致惡意程式碼注入網頁,當受害者訪問網頁時,瀏覽器執行惡意程式碼,執行攻擊者的攻擊行為

DVWA-CSRF

一、CSRF簡介 CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF。它是利用受害者尚未失效的身份認證資訊(cookie、會話等),誘騙其點選惡

DVWA靶場——CSRF(跨站請求偽造)

概述 Cross Site Request Forgery簡稱“CSRF”,中文名為跨站請求偽造。在CSRF的攻擊場景中攻擊者會偽造一個請求(這個請求一般是一個連結),然後欺騙目標使用者進行點選,使用者一旦點選了這個請求,整個攻

【安全狐】CSRF原理圖及DVWA環境練習

[ CSRF ](Cross-site request forgery)跨站請求偽造,也被稱為one-click attack或者session riding,通常縮寫為CSRF或者XSRF, 是一種挾制使用者在當前已登入的Web應用程式上執行非本意的操作的攻擊方法

DVWA大通關(三、CSRF

CSRF 跨站請求偽造介紹 跨站請求偽造 (Cross-Site Request Forgery, CSRF),也被稱為 One Click Attack 或者 Session Riding ,通常縮寫為CSRF,是一種對網站的惡意利用。通常利用受害者尚未失效的身份認證資訊(coo

新手學java,應該用IDE還是記事本?

我在剛開始學習java那會,會糾結這樣的一個問題,我該用什麼來寫java程式呢?那時候看的視訊教程和書籍,剛開始都是用記事本來演示以下這個經典的程式程式碼:

每個新手程式設計師都應該知道的Python技巧

作者:Peter Nistrup 翻譯:周蘿蔔 譯文出品:蘿蔔大雜燴 當下,Python 比以往的任何時候都更加流行,人們每天都在實踐著 Python 是多麼的強大且易用。

新手也能看懂的 SpringBoot 非同步程式設計指南

本文已經收錄自 springboot-guide : github.com/Snailclimb/… (Spring Boot 核心知識點整理。 基於 Spring Boot 2.19+。)

SpringBoot新手入門的快速教程

SpringBoot是什麼? SpringBoot是spring家族中微型框架,其設計目的是用來簡化新Spring應用的初始搭建以及開發過程。

spring security中的csrf防禦原理(跨域請求偽造)

什麼是csrfcsrf又稱跨域請求偽造,攻擊方通過偽造使用者請求訪問受信任站點。CSRF這種攻擊方式在2000年已經被國外的安全人員提出,但在國內,直到06年才開始被關注,08年,國內外的多個大型社群和互動網站分別爆出

SpringSecurity框架下實現CSRF跨站攻擊防禦的方法

一、什麼是CSRF 很多朋友在學習Spring Security的時候,會將CORS(跨站資源共享)和CSRF(跨站請求偽造)弄混,以為二者是一回事。其實不是,先解釋一下:

Log4j新手快速入門教程

簡介 Log4J是 Apache 的一個開源專案(官網http://jakarta.apache.org/log4j),通過在專案中使用 Log4J,我們可以控制日誌資訊輸出到控制檯、檔案、GUI 元件、甚至是資料庫中。我們可以控制每一條日誌的輸出格式,

新手把mysql裝進docker中碰到的各種問題

前言 最近電腦經常關機要關好長時間,老是需要長按電源鍵強行關機。也不知道是怎麼回事。

新手學習MySQL索引

前言 由於MySQL的索引中最重要的資料結構就是B+樹,所以前面我們先大概講講B+樹的原理

mysql 8.0.15 下載安裝詳細教程 新手必備!

本文記錄了mysql 8.0.15 下載安裝的具體步驟,供大家參考,具體內容如下 背景:作為一個熱愛技術但不懂程式碼的產品寫的教程