DVWA-CSRF(跨站请求伪造)
csrf(Cross-site request forgery)跨站请求伪造:攻击者诱导用户访问第三方网站,在第三方网站中携带恶意代码,向被攻击者发送请求
原理可以这样来说
用户在访问了一个后台管理网站后,例如用户更改密码,但是更改密码需要登录认证的,用户在登录后,浏览器会保存认证一段时间,叫做
cookie,保证下次访问不在弹出登录框
这个时候攻击者恶意伪造一个网站,这个网站的功能是更改用户的密码,但是攻击者没有用户的cookie,是无法更改密码的,攻击者通过诱导用户点击恶意网页,由于用户浏览器带有后台管理网站的cookie,恶意网页这是请求更改密码就会执行成功,导致用户什么都不知道,密码就被修改了
LOW
审计源码
<?php
// 判断有没有接收到Change
if( isset( $_GET[ 'Change' ] ) ) {
// 获取输入的两次密码
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// 两次输入密码是否相同
if( $pass_new == $pass_conf ) {
// 相同
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// 使用md5加密新密码
$pass_new = md5( $pass_new );
// 更新数据库密码
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// 密码更改成功
echo "<pre>Password Changed.</pre>";
}
else {
// 两次密码输入不相同,密码更改失败
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
通过代码可以看出,Low没有做任何过滤,并且是一个更改密码操作
首先更改一次密码,获取更改密码的url
http://172.16.1.103/dvwa/vulnerabilities/csrf/?password_new=Admin123&password_conf=Admin123&Change=Change#
这里可以看到将密码更改为了Admin123
再次打开一个firefox,将链接粘贴的url中
http://172.16.1.103/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#
退出DVWA登录,使用123456登录靶场
可以看到,密码已经被更改成功
构造恶意网页
在kali另一台机器上写入恶意网页
<img src="http://172.16.1.103/dvwa/vulnerabilities/csrf/?password_new=Admin123&password_conf=Admin123&Change=Change#" style="display:none"/>
<h1>Test HTML</h1>
使用登录DVWA靶场的firefox访问恶意网页
在访问后,回到DVWA退出登录,查看密码是否更改成功
可以看到,只有使用Admin123才可以登录成功
Medium
审计源码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// 检查 http_referer 是否是 访问服务器的访问名称
// stripos() 查找字符串首次出现的位置
// $_SERVER变量 获取 http_referer 的值,server_name获取服务端的名称例如:www.baidu.com
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
// 获取两次输入的密码
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// 判断两次密码是否相同
if( $pass_new == $pass_conf ) {
// 相同
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// 使用 md5 加密输入新密码
$pass_new = md5( $pass_new );
// 更改密码
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// 更改密码成功
echo "<pre>Password Changed.</pre>";
}
else {
// 更改密码失败
echo "<pre>Passwords did not match.</pre>";
}
}
else {
// rerfer值不正确
echo "<pre>That request didn't look correct.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
通过观察,使用
stripos()查找一个字符串时第一次出现的位置,
HTTP_REFERER是获取HTTP请求头中的REferer值,用来告诉服务端来自哪里的请求
SERVER_NAME访问目标的主机名
总体来说就是检查header中的Referer中是否含有服务端主机名
修改密码抓包查看数据包结构
可以看到,Referer中默认就是来自http://172.16.1.103/dvwa/vulnerabilities/csrf/
所以密码可以修改成功,这里密码修改,只要是Referer中含有服务器主机名就可以成功
我们直接修改为Referer:172.16.1.103
可以看到密码是可以修改成功的
但是,真正的CSRF是,诱导点击,访问恶意网页进行修改,我们这里只是通过burpsuite更改密码成功
恶意文件修改密码
这里我已失败告终了,学术不精,到底该如何在点击访问时更改Referer的值呢?
High
审计源码
<?php
// 定义改变默认为 false
$change = false;
// 定义请求类型默认为 html
$request_type = "html";
// 定义返回信息默认为 返回失败
$return_message = "Request Failed";
// 判断 change 是否为true
if ($_SERVER['REQUEST_METHOD'] == "POST" && array_key_exists ("CONTENT_TYPE", $_SERVER) && $_SERVER['CONTENT_TYPE'] == "application/json") {
$data = json_decode(file_get_contents('php://input'), true);
$request_type = "json";
if (array_key_exists("HTTP_USER_TOKEN", $_SERVER) &&
array_key_exists("password_new", $data) &&
array_key_exists("password_conf", $data) &&
array_key_exists("Change", $data)) {
$token = $_SERVER['HTTP_USER_TOKEN'];
$pass_new = $data["password_new"];
$pass_conf = $data["password_conf"];
$change = true;
}
} else {
if (array_key_exists("user_token", $_REQUEST) &&
array_key_exists("password_new", $_REQUEST) &&
array_key_exists("password_conf", $_REQUEST) &&
array_key_exists("Change", $_REQUEST)) {
$token = $_REQUEST["user_token"];
$pass_new = $_REQUEST["password_new"];
$pass_conf = $_REQUEST["password_conf"];
$change = true;
}
}
if ($change) {
// 检查 user_token
checkToken( $token, $_SESSION[ 'session_token' ], 'index.php' );
// 判断输入的两次密码是否相同
if( $pass_new == $pass_conf ) {
// 使用md5加密输入的新密码
$pass_new = mysqli_real_escape_string ($GLOBALS["___mysqli_ston"], $pass_new);
$pass_new = md5( $pass_new );
// 更新用户的密码
$insert = "UPDATE `users` SET password = '" . $pass_new . "' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert );
// 密码更改成功提示
$return_message = "Password Changed.";
}
else {
// 提示密码更改失败
$return_message = "Passwords did not match.";
}
mysqli_close($GLOBALS["___mysqli_ston"]);
if ($request_type == "json") {
generateSessionToken();
header ("Content-Type: application/json");
print json_encode (array("Message" =>$return_message));
exit;
} else {
echo "<pre>" . $return_message . "</pre>";
}
}
// 生成token
generateSessionToken();
?>
通过观察这里引入了一个user_token,防止点击修改密码,但是可以通过抓包的方式修改user_token
更改密码为Admin123抓包查看
这里的user_token在每一次更改密码服务器都会刷新返回一个;
通过同等级XSS (Reflected)漏洞获取user_token,然后通过获取的user_token更改密码,
<iframe src="../csrf" onload=alert(frames[0].document.getElementsByName('user_token')[0].value) />
这样确实可以获取user_token.
上述这个方法其实和在CSRF页面查看源代码获取user_token的方法类似
上述两个方法确实都获取到了user_token,但是并没有点击就可以修改用户密码,还是需要通过抓包更改密码;
所以如果要实现真正的CSRF,需要写一个javascript诱导用户点击,获取其user_token,然后通过获取的user_token更改密码
到底该怎么实现?由于我没有学过javascript,所以如何获取就不得而知,后续再来补坑吧。
Impossible
审计源码
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// 获取并检查 user_token 是否正常
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// 获取 上次密码 和 两次输入的新密码
$pass_curr = $_GET[ 'password_current' ];
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// 去除获取当前密码中的 /
$pass_curr = stripslashes( $pass_curr );
$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// 使用 md5 加密获取的当前密码
$pass_curr = md5( $pass_curr );
// 检查当前密码是否正确
$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
$data->execute();
// 判断输入两次新密码是否相同 和 输入当前密码是否正确
if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
// 正确
// 去除新密码中的 /
$pass_new = stripslashes( $pass_new );
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// 使用 md5 加密新密码
$pass_new = md5( $pass_new );
// 更新数据库中的密码为新密码
$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->execute();
// 返回更改密码成功
echo "<pre>Password Changed.</pre>";
}
else {
// 否则返回错误
echo "<pre>Passwords did not match or current password incorrect.</pre>";
}
}
// 生成 user_token 认证
generateSessionToken();
?>
可以看到这里既引入了user_token认证,也去除了密码中的/,最重要的是需要输入当前的密码,才可以更改密码。
唯一不好的就是更改密码为GET请求方式,换为POST更好,可能是作者想方便测试吧
