• CSRF漏洞详解与挖掘


    CSRF的定义:

    CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。

    CSRF攻击原理如下:
    1.用户打开浏览器,访问登陆受信任的A网站
    2. 在用户信息通过验证后,服务器会返回一个cookie给浏览器,用户登陆网站A成功,可以正常发送请求到网站A
    3.用户未退出网站A,在同一浏览器中,打开一个危险网站B
    4.网站B收到用户请求后,返回一些恶意代码,并发出请求要求访问网站A
    5.浏览器收到这些恶意代码以后,在用户不知情的情况下,利用cookie信息,向网站A发送恶意请求,网站A会根据cookie信息以用户的权限去处理该请求,导致来自网站B的恶意代码被执行

    这样太过于官方,简单来说就是通过构造URL造成攻击的就是CSRF,用目标的cookie来执行我们的攻击

    挖掘工具
    burp
    AWVS
    appscan
    netspark
    CSRFTester(后台回复12855)
    CSRF Request Builder

    DVWA靶场演练

    初级
    更改密码发现构造如下
    http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#

    发现规律
    password_new=admin&password_conf=admin

    两者对应,在表单中为新密码与确认新密码,为此我们构造链接如下
    http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin123&password_conf=admin123&Change=Change#

    **一个扩外的知识点:**同学们注意到"?“后跟参数的规律了吧,后续再次拼接就不需要再用问号,使用”&"进行拼接

    返回值为;Password Changed.代表我们操作成功

    查看背后代码

    例子0X00

    ' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' ); // Feedback for the user echo "
    Password Changed.
    "; } else { // Issue with passwords matching echo "
    Passwords did not match.
    "; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

    我们发现,在第九行上

    if( $pass_new == $pass_conf )

    代码中服务器只进行了两次密码输入是否相同的验证,如果相同则会修改密码

    中级

    重放修改操作,发现在构造URL时,返回错误。

    URL:
    http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin1&password_conf=admin1&Change=Change#

    返回
    That request didn’t look correct.#那个要求看起来不太正确。

    我们并没有修改成功,为了节约时间,我看了对应的源码如下

    例子0X01

    ' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' ); // Feedback for the user echo "
    Password Changed.
    "; } else { // Issue with passwords matching echo "
    Passwords did not match.
    "; } } else { // Didn't come from a trusted source echo "
    That request didn't look correct.
    "; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

    其对应的第五行我发现了

    if( stripos( S E R V E R [ ′ H T T P R E F E R E R ′ ] , _SERVER[ 'HTTP_REFERER' ] , SERVER[HTTPREFERER],_SERVER[ ‘SERVER_NAME’ ]) !== false )

    代码中使用stripos()函数判断Referer参数中是否包含Host参数

    stripos() 函数查找字符串在另一字符串中第一次出现的位置

    细节1:stripos() 函数是不区分大小写的。

    细节2:该函数是二进制并且是安全的。

    其语法为

    stripos(string,find,start)

    知识点:返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE,这里看懂了那行代码了吗?

    细节:字符串位置从 0 开始,不是从 1 开始。

    那我们只能从包下手,既然检测referer参数,那么咱们就构造这个参数。

    首先先过一遍正常操作,截取referer如下;

    Referer:http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change

    构造URL

    http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#

    抓包修改为咱们截取的referer,点击intercept is on(burp),返回Password Changed.我们操作成功

    困难

    首先我抓了个包,如下

    GET /dwva/vulnerabilities/csrf/?password_new=admin1&password_conf=admin1&Change=Change&user_token=1e457f530db4c98d317a676e042319ad HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate DNT: 1 Referer: http://127.0.0.1/dwva/vulnerabilities/csrf/ Cookie: security=high; PHPSESSID=1vp4qsnhuarsp59enbrv5gtio4 X-Forwarded-For: 8.8.8.8 Connection: keep-alive Upgrade-Insecure-Requests: 1

    与以往不同的是增加了user_token

    token机制内容;每次访问修改密码的页面时,服务器都会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token是否正确,只有token正确,才会继续处理客户端请求。

    常见思路

    抓取目标cookie然后获得token,再利用token来修改密码

    可这样我们就要涉及到游览器的同源策略了。有的同学不知道什么是同源策略,这里简单的引用《白帽子讲WEB安全》一书中对同源策略的讲解如下;

    游览器 的同源策略,限制了来自不同源的“document(文件)”或脚本,对当前的“document(文件)”读取或设置某些属性

    简单的理解为

    不同源的客户端脚本,在没有明确授权的情况下,不能互相读写对方资源,不允许进行跨域

    要解决这个问题就要xss注入了,把我们的文件注入到对方服务器上去。

    点击[XSS (Stored)]我们开始写入一个简单的表单进行提交并抓包。如下所示

    POST /dwva/vulnerabilities/xss_s/ HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate DNT: 1 Referer: http://127.0.0.1/dwva/vulnerabilities/xss_s/ Cookie: security=high; PHPSESSID=1vp4qsnhuarsp59enbrv5gtio4 X-Forwarded-For: 8.8.8.8 Connection: keep-alive Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded Content-Length: 54 txtName=sssassd&mtxMessage=ssss&btnSign=Sign+Guestbook

    修改txtName为

    txtName=
    &mtxMessage=ssss&btnSign=Sign+Guestbook

    从弹窗中拿到我们的token;ce3a5ec7491742e4062f2f60a05a9c93并post提交

    构造

    /dwva/vulnerabilities/csrf/index.php?password_new=password&password_conf=password&Change=Change&user_token=ce3a5ec7491742e4062f2f60a05a9c93

    修改成功。

    挖掘CSRF漏洞

    CSRF用于越权操作,漏洞在有权限控制的地方,其构造URL或者get提交,都可以测一测。

    黑盒

    打开非静态操作的页面,抓包查看是否存在token,如果没有token,直接请求这个页面,不带referer,如果返回的数据是一样的话,那说明很有可能有CSRF漏洞了。

    白盒

    读代码的时候看看核心文件里有没有验证token和referer相关的代码。可以直接搜索token关键字。

    使用工具

    半自动检测CSRF

    使用CSRFTester教程https://www.sogou.com/link?url=DSOYnZeCC_p8qT7bQ6Ez_IrwkGJvRRLdYQYE4_vHjb03UFOatHCO_d9GQw9zhM_U

    下载地址;http://www.mediafire.com/file/3j9kbyd3rtardq5/CSRFTester-1.0-src.zip/file

    如何防止CSRF攻击
    1.加验证码
    2.尽量使用POST,少用GET
    3.验证HTTP Referer字段
    4.在请求地址中添加token并验证

  • 相关阅读:
    OPPO 自研大规模知识图谱及其在数智工程中的应用
    【报错解决】java:错误:无效的源发行版:15
    多模态自编码器从EEG信号预测fNIRS静息态
    PAT 1065 A+B and C (64bit)
    (2022|NIPS,CogLM,分层,LoPAR,icetk)CogView2:通过分层 Transformer 更快更好地文本到图像生成
    JVM调优参数
    MBR与GPT分区表
    Spring
    Python进阶之map() 函数
    积分商城运营成功的7个关键要素
  • 原文地址:https://blog.csdn.net/m0_60571990/article/details/127677925