首页 > 其他分享 >[网络安全] DVWA之CSRF攻击姿势及解题详析合集

[网络安全] DVWA之CSRF攻击姿势及解题详析合集

时间:2023-06-16 22:11:33浏览次数:55  
标签:详析 新密码 DVWA 密码 token CSRF mysqli ___

CSRF

CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web应用程序安全漏洞,它利用了用户在已认证的网站中的身份,通过欺骗用户发起非预期的请求。 攻击者会构造一个恶意网页,使用户在浏览器中访问该网页时,自动向目标网站发送了未经用户授权的请求。

CSRF攻击的原理是利用了Web应用程序对用户请求的信任,攻击者构造一个恶意请求并诱使用户触发,从而达到攻击的目的。

常见的CSRF攻击包括修改用户密码、发送电子邮件、进行资金转账等。

Low level

在这里插入图片描述

源代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?> 

代码审计

  1. 首先检查$_GET['Change']是否存在,以确定是否有密码更改请求。
  2. 代码获取了输入的新密码和确认密码。
  3. 判断新密码和确认密码是否匹配。
  4. 如果匹配,则对新密码进行处理:
    • mysqli_real_escape_string函数用于对新密码进行数据库转义,以防止SQL注入攻击。
    • md5函数用于对新密码进行MD5哈希加密。
  5. 更新数据库中用户密码的语句被构建,并执行更新操作。
  6. 根据操作结果向用户提供相应的反馈信息。

此外,在代码中还调用了一个名为dvwaCurrentUser的函数,该函数返回当前用户的用户名。

姿势

分别输入1,回显如下:

在这里插入图片描述
发现参数以GET方式提交

于是可修改参数为password_new=2&password_conf=2

在这里插入图片描述
再打开链接:

在这里插入图片描述
由页面回显可知,密码修改成功
即成功实施了CSRF

Medium level

源代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?> 

代码审计

  1. 首先,代码检查是否设置了名为Change的GET参数,以确定是否有密码更改请求。
  2. 代码使用stripos()函数检查请求来源是否在同一服务器上,以确保请求来自可信任的来源。
  3. 如果请求来源合法,则获取新密码和确认密码的输入。
  4. 检查新密码和确认密码是否匹配。
  5. 如果密码匹配,则对新密码进行处理:
    • 首先,使用mysqli_real_escape_string()函数对新密码进行数据库转义,以防止SQL注入攻击。
    • 然后,使用md5()函数对新密码进行MD5哈希加密。请注意,MD5已经不再被认为是一种安全的哈希算法。
  6. 构建更新数据库中用户密码的SQL语句,并执行更新操作。
  7. 根据操作结果向用户提供相应的反馈信息。

此外,在代码中还调用了一个名为dvwaCurrentUser()的函数,该函数返回当前用户的用户名。

姿势

与Low级别不同的是,Medium级别源代码中加入了该语句

stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) 

即判断 HTTP_REFERER中是否包含SERVER_NAME,即检查请求来源是否在同一服务器上。

HTTP_REFERERReferer参数值,即来源地址
SERVER_NAMEhost参数及主机ip名


思路:在dvwa的www目录下写入一个html文件,该文件包含CSRF链接,抓包使请求包包含该文件即可


故写一个html文件,命名为主机地址.html

内容为:

<img src=“http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=2&password_conf=2&Change=Change#” border=“0” style=“display:none;”/>

在这里插入图片描述
主机地址可在 cmd 中输入 ipconfig 得到

抓包后修改参数:

在这里插入图片描述

发包后,从右侧回显可知,密码修改成功。

High level

源代码

<?php

$change = false;
$request_type = "html";
$return_message = "Request Failed";

if ($_SERVER['REQUEST_METHOD'] == "POST" && array_key_exists ("CONTENT_TYPE", $_SERVER) && $_SERVER['CONTENT_TYPE'] == "application/json") {
    $data = json_decode(file_get_contents('php://input'), true);
    $request_type = "json";
    if (array_key_exists("HTTP_USER_TOKEN", $_SERVER) &&
        array_key_exists("password_new", $data) &&
        array_key_exists("password_conf", $data) &&
        array_key_exists("Change", $data)) {
        $token = $_SERVER['HTTP_USER_TOKEN'];
        $pass_new = $data["password_new"];
        $pass_conf = $data["password_conf"];
        $change = true;
    }
} else {
    if (array_key_exists("user_token", $_REQUEST) &&
        array_key_exists("password_new", $_REQUEST) &&
        array_key_exists("password_conf", $_REQUEST) &&
        array_key_exists("Change", $_REQUEST)) {
        $token = $_REQUEST["user_token"];
        $pass_new = $_REQUEST["password_new"];
        $pass_conf = $_REQUEST["password_conf"];
        $change = true;
    }
}

if ($change) {
    // Check Anti-CSRF token
    checkToken( $token, $_SESSION[ 'session_token' ], 'index.php' );

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = mysqli_real_escape_string ($GLOBALS["___mysqli_ston"], $pass_new);
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '" . $pass_new . "' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert );

        // Feedback for the user
        $return_message = "Password Changed.";
    }
    else {
        // Issue with passwords matching
        $return_message = "Passwords did not match.";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);

    if ($request_type == "json") {
        generateSessionToken();
        header ("Content-Type: application/json");
        print json_encode (array("Message" =>$return_message));
        exit;
    } else {
        echo "<pre>" . $return_message . "</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?> 

代码审计

  1. 首先,代码检查请求是否为POST方法,并且内容类型为application/json。如果满足条件,则将请求解析为JSON格式,并获取相应的参数。
  2. 如果不满足JSON请求条件,则检查非JSON请求的参数。
  3. 如果满足密码更改的条件,则进行以下操作:
    • 检查防跨站请求伪造(Anti-CSRF)令牌。
    • 检查新密码和确认密码是否匹配。
    • 对新密码进行数据库转义和MD5哈希加密。
    • 构建更新数据库中用户密码的SQL语句,并执行更新操作。
    • 根据操作结果向用户提供相应的反馈信息。
  4. 关闭数据库连接。
  5. 根据请求类型,生成新的Anti-CSRF令牌并返回响应。

姿势

由代码审计得:

generateSessionToken()函数用于生成一个随机的token,并将其存储在会话(session)中,确保每个用户都有一个唯一的token。

checkToken()函数用于验证传递给服务器的token是否与存储在会话中的token匹配。这个函数在处理密码更改请求之前被调用,以确保只有合法的请求被处理。

通过这两个步骤,服务器会先验证token的有效性,只有在验证成功后才会处理用户的密码更改请求。

所以在发起请求之前应获取服务器返回的user_token,再利用user_token绕过验证。

method 1

在Burp中安装CSRF Token Tracker

在这里插入图片描述

添加主机名、抓包得到的token名即token值
在这里插入图片描述
再重新抓包,重放包,任意修改密码均成功,插件里的token值会自动更新。

method 2

利用 DVWA 中的 xss(stored) ,实现token的弹出。

在 xss(stored) 页面中输入1,1并抓包

在这里插入图片描述
修改textName参数为<iframe src="../csrf/" onl oad=alert(frames[0].document.getElementsByName('user_token')[0].value)>

此时放包并关闭拦截,页面弹出token:80edcbac43cd9594f29999a0692a608f3

在这里插入图片描述
接着抓CSRF页面的包:

在这里插入图片描述
修改密码及token,放包:

在这里插入图片描述

由页面回显可知,成功修改密码。

Impossible level

源代码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?> 

代码审计

  1. 首先,代码通过检查$_GET['Change']是否存在来判断是否有密码更改请求。
  2. 接下来,代码调用了checkToken函数来验证Anti-CSRF令牌。checkToken函数会比较请求中的user_token和会话中的session_token是否匹配,以确认请求的合法性。
  3. 代码获取了输入的当前密码、新密码和确认密码,并对当前密码进行了一系列处理:
    • stripslashes函数用于去除当前密码中的反斜杠。
    • mysqli_real_escape_string函数用于对当前密码进行数据库转义,防止SQL注入攻击。
    • md5函数用于将当前密码进行MD5哈希加密。
  4. 代码执行了数据库查询,检查用户输入的当前密码是否正确。
  5. 如果新密码和确认密码相匹配,并且当前密码正确,则更新数据库中的密码为新密码。
  6. 最后,根据操作结果输出相应的反馈信息。

此外,在代码中还调用了两个额外的函数:

  • generateSessionToken函数用于生成并设置Anti-CSRF令牌,以确保每次渲染表单时都会生成一个新的令牌,并将其存储在会话中。
  • dvwaCurrentUser函数返回当前用户的用户名。

总结

以上为 [网络安全] DVWA之CSRF攻击姿势及解题详析合集,考察CSRFBurp使用PHP代码审计等相关知识。

我是秋说,我们下次见。

标签:详析,新密码,DVWA,密码,token,CSRF,mysqli,___
From: https://www.cnblogs.com/qiushuo/p/17486607.html

相关文章

  • [网络安全] DVWA之 Insecure CAPTCHA 攻击姿势及解题详析合集
    InsecureCAPTCHACAPTCHA(CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart,全自动区分计算机和人类的图灵测试)是一种常用的人机验证机制,旨在防止恶意机器人或自动化程序对网站进行滥用或攻击。reCAPTCHA验证流程如下:网站集成:网站管理员在网站上集......
  • 关于DVWA靶场高难度命令执行的代码审计
    需要的环境:dvwa使用的工具:PHP手册high难度源代码:<?phpif(isset($_POST['Submit'])){//Getinput$target=trim($_REQUEST['ip']);//Setblacklist$substitutions=array('&'=>'',......
  • [网络安全] DVWA之 Open HTTP Redirect 攻击姿势及解题详析合集
    Lowlevel主页面如下:点击Quote1,发现url传递参数源代码审计源码如下:<?phpif(array_key_exists("redirect",$_GET)&&$_GET['redirect']!=""){header("location:".$_GET['redirect']);exit;}http......
  • DVWA安装及文件包含
    1.安装步骤:查看网络连接这样就是联网了安装所需要的环境安装apache :yum-yinstallhttpd 如果是这样说明安装成功如果这样说明没网(解决方法在开头)启动apache :servicehttpdstart 安装PHP    :yum-yinstallphp是这样则是安装好了不是这样请检查网络安装mysql-......
  • 如何防范CSRF(跨域请求伪造)?
    1、什么是CSRF?跨域请求伪造指的是第三方诱导用户点击含攻击信息的网站,利用用户在目标网站的凭证冒充用户进行操作。  2、如何解决?方法一:同源检测HTTP请求头Referrer字段是浏览器默认带上,含义是发送请求的页面地址,比如同样是删除相册的操作http://www.photo.com/del?id=......
  • CSRF和SSRF漏洞
    1、CSRF概念和原理跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利......
  • CSRF攻击
    跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网......
  • csrf
             ......
  • 6、CSRF漏洞管理
    一、CSRF概念答:全称是Cross-siterequestforgery,跨站请求伪造,我们可以理解未这种漏洞为攻击者利用被攻击者的身份发起了某些被攻击者原本不知情的网络请求,包括以被攻击者的身份发布微博,留言等。CSRF能够发邮件,发消息,盗取账户,购买商品,虚拟货币转账等。二、CSRF漏洞原理......
  • CSRF攻击的原理和spring security的解决方法
    本文转载自:https://blog.csdn.net/qq_42956993/article/details/110213224一个用户通过浏览器成功登录一个网站,登陆成功后,服务器会返回一个该用户的唯一标识放入浏览器Cookie中,以此作为用户之后操作的唯一凭证。假设此时该用户在此网站中请求一个表单类的网页,这时候用户又打开......