2. 程式人生 > 實用技巧 >DVWA靶場——CSRF(跨站請求偽造)

DVWA靶場——CSRF(跨站請求偽造)

阿新 發佈:2020-08-16

概述

Cross Site Request Forgery簡稱“CSRF”,中文名為跨站請求偽造。在CSRF的攻擊場景中攻擊者會偽造一個請求(這個請求一般是一個連結),然後欺騙目標使用者進行點選,使用者一旦點選了這個請求,整個攻擊也就完成了。所以CSRF攻擊也被稱為"one click"攻擊

Low級別

原始碼:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    
 
// Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR
 
)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS
 
["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

可以看到原始碼中,後臺伺服器收到修改密碼的請求後,會去檢查password_newpassword_conf的引數是否相同,如果相同,則會修改密碼成功。這裡並沒有做任何的防CSRF機制

可以看到,每次我們修改密碼成功後,瀏覽器的URL都會顯示出來,我們可以利用這個漏洞,通過修改使用者的密碼後構造成一個連結,把連結傳送給目標使用者。目標使用者點選連結後,他的密碼就會被修改為連結中的密碼

http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#

可以看到,使用者點選連結後,就會跳轉到DVWA頁面,顯示密碼修改成功。

很多人會說這個連結那麼明顯,不會有人點選,確實,所以我們可以通過短連結的形式來隱藏URL,一點選這個短連結就會跳轉到URL的指定頁面

http://suo.im/67SSid

但可以發現,每次點選連結後,都會跳轉到指定的頁面,頁面都會顯示Password Changed.密碼修改成功),這會很容易讓受害者知道自己受到了攻擊,所以這種方法並不好用。

我們可以通過構造一個HTML頁面去模擬真實的攻擊場景,誘導使用者點選從而對其攻擊

<html>
<body>
    <img src="http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#"
border="0" style="display:none;"/>
<h1>404</h1>
    <h2>file not found.</h2>

</body>
</html>

當用戶點選這個HTML檔案後,頁面不會跳轉到DVWA頁面,但實際上使用者已經被SCRF攻擊了

Medium級別

在dvwa靶場中使用low級別的方法,在瀏覽器URL修改,頁面顯示That request didn't look correct.,說明low級別的方法在這裡不行了

原始碼:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

從上圖的紅框中可以看到,後臺的伺服器會去檢查HTTP_REFERER函式是否包含SERVER_NAME(host引數、主機名等),用此方法來抵禦CSRF攻擊

使用burp suite來抓包,傳送到Repeater模組

因為後臺伺服器檢查的是HTTP_REFERER函式是否包含SERVER_NAME,所以我們可以把抓包中的referer的引數改為host的引數

提交後,顯示密碼修改成功

High級別

原始碼:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

從原始碼中,可以看到high級別增加了Anti-CSRF token機制,後臺會隨機生成一個token引數,每次使用者提交改密時,後臺都會優先檢查token引數是否正確,然後才會去處理使用者的請求,這樣子很大程度上抵禦了CSRF攻擊。

因為high級別需要token去認證,然而實力還是菜鳥級別,還不懂的怎樣去獲取token值,所以只能另闢蹊徑來繞過token

每次我們抓包的時候,都可以看到cookie的引數,而每次dvwa靶場更換級別時,cookie的引數會隨著去改變,我們可以通過改變cookie的引數來繞過token

仔細觀察抓到的包裡面的內容,cookie裡的PHPSESSID引數其實都是一樣的,而security的值會隨著dvwa靶場的級別而去改變,我們可以把security的值改為low,從而去繞過token

保持burp suite的抓包狀態,在dvwa靶場的CSRF頁面中修改密碼,然後開啟bp,把抓到的包傳送到Repeater模組

Cookie裡面的security的值修改為low,也可以修改password_newpassword_conf的值

提交後,可以看到繞過token,密碼修改成功

Impossible級別

原始碼:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到Impossible級別的原始碼中,不僅使用Anti-CSRF token機制,還使用了PDO技術來防禦SQL注入,關鍵是還要求使用者輸入原始密碼(很nice),攻擊者在不知道原始密碼的情況下,無論如何都無法進行CSRF攻擊!

相關推薦

DVWA靶場——CSRF(請求偽造)

概述 Cross Site Request Forgery簡稱“CSRF”,中文名為跨站請求偽造。在CSRF的攻擊場景中攻擊者會偽造一個請求(這個請求一般是一個連結),然後欺騙目標使用者進行點選,使用者一旦點選了這個請求,整個攻

CSRF 請求偽造學習筆記

參考文章: 漏洞挖掘之CSRF CSRF花式繞過Referer技巧 What-是什麼 CSRF(Cross-site request forgery)請求偽造。攻擊者通過構造特殊連結或者頁面,盜用使用者身份,以合法名義完成一些非法勾當。

CSRF 請求偽造攻擊

CSRF請求偽造攻擊 CSRF 原理   下圖大概描述了 CSRF 攻擊的原理,可以理解為有一個小偷在你配鑰匙的地方得到了你家的鑰匙,然後拿著要是去你家想偷什麼偷什麼。

Django框架之十 中介軟體 csrf請求偽造

中介軟體 一、什麼是中介軟體 求的時候需要先經過中介軟體才能到達django後端(urls,views,templates,models)

CSRF請求偽造

CSRF 介紹 CSRF,是請求偽造(Cross Site Request Forgery)的縮寫,是一種劫持受信任使用者向伺服器傳送非預期請求的攻擊方式。

django框架之自定義中介軟體及csrf請求偽造等相關內容-75

今日內容 1 django的session原理流程 2 自定義中介軟體 1 自定義步驟:-寫一個類,繼承MiddlewareMixin-裡面寫方法process_request(請求來了,一定會觸發它的執行)-在setting中配置(注意,放在前和放在後)MIDD

[Pikachu 靶場] 3-請求偽造

CSRF跨站請求偽造 0x00 CSRF(Cross-Site Request Forgery,跨站請求偽造) 在 CSRF 的攻擊場景中,攻擊者偽造請求(一般為連結),然後欺騙目標點選。受害者一旦點選了這個連結,攻擊就完成了——因此 CSRF

CSRF 請求偽造 漏洞

0x00 CSRF 漏洞概述 跨站請求偽造(Cross- site request forgery, CSRF)是一種攻擊,它強制終端使用者在當前對其進行身份驗證後的 web 應用程式上執行非本意的操作。CSRF 攻擊的著重點在偽造更改狀態的請求 ,而不

Django csrf請求偽造,校驗,CBV忽略與允許csrf校驗

csrf請求偽造 釣魚網站,搭建一個網站與正規網站一模一樣的介面,使用者進入到我們的網站中,給指定使用者轉賬,匯款確實提交到銀行,但是收款人確實我們自己定義的人。

csrf請求偽造;auth模組

csrf請求偽造 針對csrf相關的校驗有很多種方式,django只是提供了一些而已

Jenkins關閉請求偽造保護(CSRF

技術標籤:DevOpsjenkinsdevops 一、簡介 Jenkins版本自2.204.6以來的重大變更有:刪除禁用 CSRF 保護的功能。在高版本的Jenkins中預設啟用CSRF。 在內網進行持續整合(CI)時,若未增加相關認證配置情況下,開啟

請求偽造--CSRF

CSRF--請求偽造 與XSS區別 1.XSS利用站點內的信任使用者,盜取cookie 2.CSRF偽裝成信任使用者請求網站

Django中如何防範CSRF站點請求偽造攻擊

CSRF概念 CSRF跨站點請求偽造(Cross—Site Request Forgery)。 攻擊者盜用了你的身份,以你的名義傳送惡意請求,對伺服器來說這個請求是完全合法的,但是卻完成了攻擊者所期望的一個操作,比如以你的名義傳送郵

請求偽造(SSRF)

SSRF漏洞簡介 SSRF(服務端請求偽造)是一種利用漏洞未在服務端發起請求。一般情況下,SSRF攻擊的目標是從外網無法訪問的內部系統。

Django中介軟體、csrf請求csrf裝飾器、基於django中介軟體學習程式設計思想

目錄 django中介軟體 中介軟體介紹什麼是中介軟體? 自定義中介軟體 準備工作 process_request(掌握)

Django csrf請求 csrf的處理 Auth模組

內容概要 csrf請求 csrf的處理 Auth模組 擴充套件auth_user表字段 內容詳細 csrf請求

2022.5.24 django操作cookie和session,django中介軟體,asrf請求偽造

2022.5.24 django操作cookie和session,django中介軟體,asrf請求偽造 django操作cookie補充

Dvwa教程之偽造請求(三)

Low CSRF Source <?php if( isset( $_GET[ \'Change\' ] ) ) { // Get input $pass_new= $_GET[ \'password_new\' ];

CSRF 指令碼請求偽造

CSRF 1.簡介   CSRF是指跨站請求偽造。可以這樣理解,攻擊盜用目標身份,以目標的名義進行違法操作。與XSS不同的是,CSRF不用獲取目標的cookie,而是直接利用目標使用者當前會話資訊,向伺服器傳送非法請求,完成自

spring security中的csrf防禦原理(請求偽造)

什麼是csrfcsrf又稱請求偽造,攻擊方通過偽造使用者請求訪問受信任站點。CSRF這種攻擊方式在2000年已經被國外的安全人員提出,但在國內,直到06年才開始被關注,08年,國內外的多個大型社群和互動網站分別爆出