• DVWA靶场-CSRF跨站请求伪造


    CSRF(跨站请求伪造)简介
    概念

    CSRF(Cross—site request forgery),跨站请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。

    CSRF与XSS的区别

    CSRF属于业务逻辑漏洞,在服务器看来,所有的请求都是合法正常的;

    XSS,SQL注入等等都是属于技术漏洞;

    XSS:客户信任服务器;

    CSRF:服务器信任客户(经过身份认证的);

    CSRF攻击成功的前提

    用户必须登录;

    黑客必须懂得一些发包的请求;

    服务器端不会有二次认证;

    被害者是不知情的;

    危害

    修改用户信息,如用户头像、发货地址等

    个人隐私泄露,机密资料泄露

    执行恶意操作,如修改密码,购买商品,转账等(盗用受害者身份,受害者能做什么攻击者就能以受害者身份)

    具体操作请看这篇文章pikachu靶场-csrf_pikachu csrf黑名单-CSDN博客

    low等级 
    1. if( isset( $_GET[ 'Change' ] ) ) {
    2. // Get input
    3. $pass_new = $_GET[ 'password_new' ];
    4. $pass_conf = $_GET[ 'password_conf' ];
    5. // Do the passwords match?
    6. if( $pass_new == $pass_conf ) {
    7. // They do!
    8. $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    9. $pass_new = md5( $pass_new );
    10. // Update the database
    11. $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
    12. $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '
      ' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
      '
      );
    13. // Feedback for the user
    14. $html .= "
      Password Changed.
      "
      ;
    15. }
    16. else {
    17. // Issue with passwords matching
    18. $html .= "
      Passwords did not match.
      "
      ;
    19. }
    20. ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
    21. }
    22. ?>

    只是对输入的pass_new和pass_conf进行了==比较,没有进行其他的防御,因此,只要用户在cookie还有效的时间内在相同的浏览器访问我们给定的url(该操作是服务器对请求的发送者进行了身份验证,检查cookie),就可以实现CSRF 攻击,最终修改密码。

    medium等级
    1. if( isset( $_GET[ 'Change' ] ) ) {
    2. // Checks to see where the request came from
    3. if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
    4. // Get input
    5. $pass_new = $_GET[ 'password_new' ];
    6. $pass_conf = $_GET[ 'password_conf' ];
    7. // Do the passwords match?
    8. if( $pass_new == $pass_conf ) {
    9. // They do!
    10. $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    11. $pass_new = md5( $pass_new );
    12. // Update the database
    13. $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
    14. $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '
      ' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
      '
      );
    15. // Feedback for the user
    16. $html .= "
      Password Changed.
      "
      ;
    17. }
    18. else {
    19. // Issue with passwords matching
    20. $html .= "
      Passwords did not match.
      "
      ;
    21. }
    22. }
    23. else {
    24. // Didn't come from a trusted source
    25. $html .= "
      That request didn't look correct.
      "
      ;
    26. }
    27. ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
    28. }
    29. ?>
    • 使用$_SERVER['HTTP_REFERER']获取请求的来源页面URL。
    • 使用$_SERVER['SERVER_NAME']获取当前服务器的域名。
    • 使用stripos()函数(不区分大小写地查找字符串首次出现的位置)来检查请求来源URL是否包含当前服务器的域名。

    假如服务器地址为192.168.101.66,即为SERVER_NAME,我们只需要把我们构造的恶意页面文件名改为192.168.101.66.html,HTTP_REFERER就会包含192.168.101.66.html,就可以绕过stripos了。

    这个对于本地搭建的DVWA是无效的 

    high等级
    1. $change = false;
    2. $request_type = "html";
    3. $return_message = "Request Failed";
    4. if ($_SERVER['REQUEST_METHOD'] == "POST" && array_key_exists ("CONTENT_TYPE", $_SERVER) && $_SERVER['CONTENT_TYPE'] == "application/json") {
    5. $data = json_decode(file_get_contents('php://input'), true);
    6. $request_type = "json";
    7. if (array_key_exists("HTTP_USER_TOKEN", $_SERVER) &&
    8. array_key_exists("password_new", $data) &&
    9. array_key_exists("password_conf", $data) &&
    10. array_key_exists("Change", $data)) {
    11. $token = $_SERVER['HTTP_USER_TOKEN'];
    12. $pass_new = $data["password_new"];
    13. $pass_conf = $data["password_conf"];
    14. $change = true;
    15. }
    16. } else {
    17. if (array_key_exists("user_token", $_REQUEST) &&
    18. array_key_exists("password_new", $_REQUEST) &&
    19. array_key_exists("password_conf", $_REQUEST) &&
    20. array_key_exists("Change", $_REQUEST)) {
    21. $token = $_REQUEST["user_token"];
    22. $pass_new = $_REQUEST["password_new"];
    23. $pass_conf = $_REQUEST["password_conf"];
    24. $change = true;
    25. }
    26. }
    27. if ($change) {
    28. // Check Anti-CSRF token
    29. checkToken( $token, $_SESSION[ 'session_token' ], 'index.php' );
    30. // Do the passwords match?
    31. if( $pass_new == $pass_conf ) {
    32. // They do!
    33. $pass_new = mysqli_real_escape_string ($GLOBALS["___mysqli_ston"], $pass_new);
    34. $pass_new = md5( $pass_new );
    35. // Update the database
    36. $insert = "UPDATE `users` SET password = '" . $pass_new . "' WHERE user = '" . dvwaCurrentUser() . "';";
    37. $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert );
    38. // Feedback for the user
    39. $return_message = "Password Changed.";
    40. }
    41. else {
    42. // Issue with passwords matching
    43. $return_message = "Passwords did not match.";
    44. }
    45. mysqli_close($GLOBALS["___mysqli_ston"]);
    46. if ($request_type == "json") {
    47. generateSessionToken();
    48. header ("Content-Type: application/json");
    49. print json_encode (array("Message" =>$return_message));
    50. exit;
    51. } else {
    52. $html .= "
      " . $return_message . "
      "
      ;
    53. }
    54. }
    55. // Generate Anti-CSRF token
    56. generateSessionToken();
    57. ?>

    设置了token限制,它是在每次访问此页面时,会随机生成一个token,当发起服务器请求时服务器会检查它的值。

    思路:先获取token的值,再构造链接并诱骗受害者访问。

    利用以下payload在反射型xss中获取到token值,不要点确认(否则会重新生成新的token)