实验环境:
DVWA靶机:172.16.12.10
windos攻击机:172.16.12.7
kali攻击机:172.16.12.30
实验步骤:
一、Low级
1、源码分析
' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' ); // Feedback for the user echo "
Password Changed."; } else { // Issue with passwords matching echo "
Passwords did not match."; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>
可以看到,服务器收到修改密码的请求后,会检查参数password_new与password_conf是否相同,如果相同,就会修改密码,并没有任何的防CSRF机制(当然服务器对请求的发送者是做了身份验证的,是检查的cookie,只是这里的代码没有体现,比如我现在用的是Firefox,如果换成Chrome就无法成功修改)。
2、漏洞复现
打开Brup,选择CSRF,先随便写两个不一样的密码
抓包发现没有token
构造恶意链接
http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change
诱骗用户点击这个恶意链接,就会在用户不知情的情况下将密码改为1234
新开一个虚拟机,登录DVWA,改级别为Low,然后访问恶意链接,发现密码直接就更改了
现在的用户安全意识都在慢慢变强,试问哪个用户看到这个URL会去点?怕是小学生都不一定会去点,所以往往会构建一个黑客的站点,而这个站点的名称可以叫test.html或者直接就用默认的index.html,给用户个IP访问,直接就中招了
演示如下:
新建文本文档,输入如下代码,保存为html格式,命名为test.html,假设已上传到DVWA站点
新开一个虚拟机作为用户,登录DVWA,安全等级改为Low,假设该用户访问DVWA的时候点开了刚才的test.html(用任何方法),出现如下界面, 显示的是404,而密码已经被更改 为hack
用原密码登录显示失败,用hack作为密码登录成功
二、Medium级
1、源码分析
' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' ); // Feedback for the user echo "
Password Changed."; } else { // Issue with passwords matching echo "
Passwords did not match."; } } else { // Didn't come from a trusted source echo "
That request didn't look correct."; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>
相关函数说明
intstripos(stringstring,stringpattern):
检查string中是第一次出现pattern的位置(不区分大小写),。
可以看到,Medium级别的代码检查了保留变量HTTP_REFERER(http包头的Referer参数的值,表示来源地址)中是否包含SERVER_NAME(http包头的Host参数),希望通过这种机制抵御CSRF攻击。
2、漏洞利用
过滤规则是http包头的Referer参数的值中必须包含主机名,所以直接用Burpsuite来修改增加Referer。如果是生活当中可以在把文件放在本机上命名为[server_name].html,然后跳转到目标页面即可,那时的referer应该是http://本机IP/服务器IP.txt,同样也是满足条件的,不一定是要从server上跳转,利用文件名也可以绕过。
新建文本文档,输入如下代码,保存为html格式,命名为172.16.12.10.html(靶机地址),然后“上传”()至DVWA网页根目录下
构造恶意链接,
http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change
在url修改密码,然后抓包,发现referer未定义
且提示请求不正确
直接在页面更改密码然后抓包看一下,发现有referer字段。复制下来备用
那么我们可以使用复制的链接诱导用户点开即可绕过(基本就是change进行了url转码)
新开一个虚拟机,假设用户在这个机器上登录DVWA,安全等级调整为Medium,诱导用户点击恶意链接,
http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=%E6%9B%B4%E6%94%B9 ,发现密码成功修改
三、High级
1、源码分析
' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' ); // Feedback for the user echo "
Password Changed."; } else { // Issue with passwords matching echo "
Passwords did not match."; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } // Generate Anti-CSRF token generateSessionToken(); ?>
可以看到,High级别的代码加入了Anti-CSRFtoken机制,用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端的请求。
2、漏洞复现
客户端访问修改密码页面->服务器发一个token->用户修改参数的请求中加入了token参数->服务器验证token->成功修改
构建这个恶意链接就不可取了因为token是随机的无法伪造
Medium和High的对比
Medium:客户端访问攻击页面->攻击页面将密码作为参数直接提交到修改密码页面
High:客户端访问攻击页面->攻击页面获取修改密码页面的token->将token和密码作为参数一起提交
问题在这一步上攻击页面获取修改密码页面的token
这一步属于跨域请求,浏览器已经禁止这么做了,所以想要完整这个操作,有两个思路:
第一, 将该js上传到服务器的目录下,这样就是同一个域了,不过如果可以这样,为啥不放木马呢?
第二, 利用xss,xss可以执行代码,获取token
xss更现实一点,但是也得需要该网站存在xss,所以单纯从这个修改密码页面,无法突破High漏洞
这里演示xss存储型 窃取cookie
使用火狐浏览器访问DVWA,点击XSS(存储型),点击浏览器右上角三个横杠——开发者
再点击查看器
搜索txtname,然后修改如下两个值
把如下脚本代码复制到名字(name)栏 ,留言(message)栏随便输入
点击提交留言,弹出token值,复制此值d5348cd5781260bf0e365ebb9002d31f
打开BP抓包,然后点击CSRF,修改密码,将红框内链接进行拼接,然后token值换成刚才复制的,构造恶意链接如下
http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1111&password_conf=1111&Change=%E6%9B%B4%E6%94%B9&user_token=d5348cd5781260bf0e365ebb9002d31f
新开一个虚拟机,假设用户在这个机器上登录DVWA,安全等级调整为High,诱导用户点击恶意链接,发现密码成功修改
四、Impossible级
1、源码分析
prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' ); $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR ); $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR ); $data->execute(); // Do both new passwords match and does the current password match the user? if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) { // It does! $pass_new = stripslashes( $pass_new ); $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update database with new password $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' ); $data->bindParam( ':password', $pass_new, PDO::PARAM_STR ); $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR ); $data->execute(); // Feedback for the user echo "Password Changed."; } else { // Issue with passwords matching echo "Passwords did not match or current password incorrect."; } } // Generate Anti-CSRF token generateSessionToken(); ?>
可以看到,Impossible级别的代码利用PDO技术防御SQL注入,至于防护CSRF,则要求用户输入原始密码(简单粗暴),攻击者在不知道原始密码的情况下,无论如何都无法进行CSRF攻击。