DVWA—CSRF（跨站请求伪造）

实验环境：

DVWA靶机：172.16.12.10 

windos攻击机：172.16.12.7

kali攻击机：172.16.12.30

实验步骤：

一、Low级

1、源码分析

' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '

' ); // Feedback for the user echo "

Password Changed.

"; } else { // Issue with passwords matching echo "

Passwords did not match.

"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

可以看到，服务器收到修改密码的请求后，会检查参数password_new与password_conf是否相同，如果相同，就会修改密码，并没有任何的防CSRF机制（当然服务器对请求的发送者是做了身份验证的，是检查的cookie，只是这里的代码没有体现，比如我现在用的是Firefox，如果换成Chrome就无法成功修改）。

2、漏洞复现

打开Brup，选择CSRF，先随便写两个不一样的密码

抓包发现没有token

构造恶意链接

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change

诱骗用户点击这个恶意链接，就会在用户不知情的情况下将密码改为1234

新开一个虚拟机，登录DVWA，改级别为Low，然后访问恶意链接，发现密码直接就更改了

现在的用户安全意识都在慢慢变强，试问哪个用户看到这个URL会去点？怕是小学生都不一定会去点，所以往往会构建一个黑客的站点，而这个站点的名称可以叫test.html或者直接就用默认的index.html，给用户个IP访问，直接就中招了

演示如下：

新建文本文档，输入如下代码，保存为html格式，命名为test.html，假设已上传到DVWA站点

新开一个虚拟机作为用户，登录DVWA，安全等级改为Low，假设该用户访问DVWA的时候点开了刚才的test.html（用任何方法），出现如下界面， 显示的是404，而密码已经被更改 为hack

用原密码登录显示失败，用hack作为密码登录成功

二、Medium级

1、源码分析

' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '

' ); // Feedback for the user echo "

Password Changed.

"; } else { // Issue with passwords matching echo "

Passwords did not match.

"; } } else { // Didn't come from a trusted source echo "

That request didn't look correct.

"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

相关函数说明
intstripos(stringstring,stringpattern)：
检查string中是第一次出现pattern的位置（不区分大小写），。
可以看到，Medium级别的代码检查了保留变量HTTP_REFERER（http包头的Referer参数的值，表示来源地址）中是否包含SERVER_NAME（http包头的Host参数），希望通过这种机制抵御CSRF攻击。

2、漏洞利用

过滤规则是http包头的Referer参数的值中必须包含主机名，所以直接用Burpsuite来修改增加Referer。如果是生活当中可以在把文件放在本机上命名为[server_name].html，然后跳转到目标页面即可，那时的referer应该是http://本机IP/服务器IP.txt，同样也是满足条件的，不一定是要从server上跳转，利用文件名也可以绕过。

新建文本文档，输入如下代码，保存为html格式，命名为172.16.12.10.html（靶机地址），然后“上传”（）至DVWA网页根目录下

构造恶意链接，

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change

在url修改密码，然后抓包，发现referer未定义

且提示请求不正确

直接在页面更改密码然后抓包看一下，发现有referer字段。复制下来备用

那么我们可以使用复制的链接诱导用户点开即可绕过（基本就是change进行了url转码）

新开一个虚拟机，假设用户在这个机器上登录DVWA，安全等级调整为Medium，诱导用户点击恶意链接，

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=%E6%9B%B4%E6%94%B9 ，发现密码成功修改

三、High级

1、源码分析

' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '

' ); // Feedback for the user echo "

Password Changed.

"; } else { // Issue with passwords matching echo "

Passwords did not match.

"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } // Generate Anti-CSRF token generateSessionToken(); ?>

可以看到，High级别的代码加入了Anti-CSRFtoken机制，用户每次访问改密页面时，服务器会返回一个随机的token，向服务器发起请求时，需要提交token参数，而服务器在收到请求时，会优先检查token，只有token正确，才会处理客户端的请求。

2、漏洞复现

客户端访问修改密码页面->服务器发一个token->用户修改参数的请求中加入了token参数->服务器验证token->成功修改

构建这个恶意链接就不可取了因为token是随机的无法伪造

Medium和High的对比

Medium：客户端访问攻击页面->攻击页面将密码作为参数直接提交到修改密码页面

High：客户端访问攻击页面->攻击页面获取修改密码页面的token->将token和密码作为参数一起提交

问题在这一步上攻击页面获取修改密码页面的token

这一步属于跨域请求，浏览器已经禁止这么做了，所以想要完整这个操作，有两个思路：

第一， 将该js上传到服务器的目录下，这样就是同一个域了，不过如果可以这样，为啥不放木马呢？

第二， 利用xss，xss可以执行代码，获取token

xss更现实一点，但是也得需要该网站存在xss，所以单纯从这个修改密码页面，无法突破High漏洞

这里演示xss存储型 窃取cookie

使用火狐浏览器访问DVWA，点击XSS（存储型），点击浏览器右上角三个横杠——开发者

再点击查看器

搜索txtname，然后修改如下两个值

把如下脚本代码复制到名字（name）栏 ，留言（message）栏随便输入

点击提交留言，弹出token值，复制此值d5348cd5781260bf0e365ebb9002d31f

打开BP抓包，然后点击CSRF，修改密码，将红框内链接进行拼接，然后token值换成刚才复制的，构造恶意链接如下

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1111&password_conf=1111&Change=%E6%9B%B4%E6%94%B9&user_token=d5348cd5781260bf0e365ebb9002d31f

新开一个虚拟机，假设用户在这个机器上登录DVWA，安全等级调整为High，诱导用户点击恶意链接，发现密码成功修改

四、Impossible级

1、源码分析

prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "
Password Changed.
";
    }
    else {
        // Issue with passwords matching
        echo "
Passwords did not match or current password incorrect.
";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到，Impossible级别的代码利用PDO技术防御SQL注入，至于防护CSRF，则要求用户输入原始密码（简单粗暴），攻击者在不知道原始密码的情况下，无论如何都无法进行CSRF攻击。