DVWA—CSRF(跨站请求伪造)

实验环境

DVWA靶机:172.16.12.10 

windos攻击机:172.16.12.7

kali攻击机:172.16.12.30

实验步骤

一、Low级

1、源码分析

' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' ); // Feedback for the user echo "
Password Changed.
"; } else { // Issue with passwords matching echo "
Passwords did not match.
"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

可以看到,服务器收到修改密码的请求后,会检查参数password_new与password_conf是否相同,如果相同,就会修改密码,并没有任何的防CSRF机制(当然服务器对请求的发送者是做了身份验证的,是检查的cookie,只是这里的代码没有体现,比如我现在用的是Firefox,如果换成Chrome就无法成功修改)。

2、漏洞复现

打开Brup,选择CSRF,先随便写两个不一样的密码

DVWA—CSRF(跨站请求伪造)_第1张图片

抓包发现没有token

DVWA—CSRF(跨站请求伪造)_第2张图片

构造恶意链接

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change

诱骗用户点击这个恶意链接,就会在用户不知情的情况下将密码改为1234

新开一个虚拟机,登录DVWA,改级别为Low,然后访问恶意链接,发现密码直接就更改了

DVWA—CSRF(跨站请求伪造)_第3张图片

现在的用户安全意识都在慢慢变强,试问哪个用户看到这个URL会去点?怕是小学生都不一定会去点,所以往往会构建一个黑客的站点,而这个站点的名称可以叫test.html或者直接就用默认的index.html,给用户个IP访问,直接就中招了

演示如下:

新建文本文档,输入如下代码,保存为html格式,命名为test.html,假设已上传到DVWA站点

DVWA—CSRF(跨站请求伪造)_第4张图片

新开一个虚拟机作为用户,登录DVWA,安全等级改为Low,假设该用户访问DVWA的时候点开了刚才的test.html(用任何方法),出现如下界面, 显示的是404,而密码已经被更改 为hack

DVWA—CSRF(跨站请求伪造)_第5张图片

用原密码登录显示失败,用hack作为密码登录成功

DVWA—CSRF(跨站请求伪造)_第6张图片

二、Medium级

1、源码分析

' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' ); // Feedback for the user echo "
Password Changed.
"; } else { // Issue with passwords matching echo "
Passwords did not match.
"; } } else { // Didn't come from a trusted source echo "
That request didn't look correct.
"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } ?>

相关函数说明
intstripos(stringstring,stringpattern):
检查string中是第一次出现pattern的位置(不区分大小写),。
可以看到,Medium级别的代码检查了保留变量HTTP_REFERER(http包头的Referer参数的值,表示来源地址)中是否包含SERVER_NAME(http包头的Host参数),希望通过这种机制抵御CSRF攻击。

2、漏洞利用

过滤规则是http包头的Referer参数的值中必须包含主机名,所以直接用Burpsuite来修改增加Referer。如果是生活当中可以在把文件放在本机上命名为[server_name].html,然后跳转到目标页面即可,那时的referer应该是http://本机IP/服务器IP.txt,同样也是满足条件的,不一定是要从server上跳转,利用文件名也可以绕过。

新建文本文档,输入如下代码,保存为html格式,命名为172.16.12.10.html(靶机地址),然后“上传”()至DVWA网页根目录下

DVWA—CSRF(跨站请求伪造)_第7张图片

构造恶意链接,

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change

在url修改密码,然后抓包,发现referer未定义

DVWA—CSRF(跨站请求伪造)_第8张图片

且提示请求不正确

DVWA—CSRF(跨站请求伪造)_第9张图片

直接在页面更改密码然后抓包看一下,发现有referer字段。复制下来备用

DVWA—CSRF(跨站请求伪造)_第10张图片

那么我们可以使用复制的链接诱导用户点开即可绕过(基本就是change进行了url转码)

新开一个虚拟机,假设用户在这个机器上登录DVWA,安全等级调整为Medium,诱导用户点击恶意链接,

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=%E6%9B%B4%E6%94%B9 ,发现密码成功修改

DVWA—CSRF(跨站请求伪造)_第11张图片

三、High级

1、源码分析

' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' ); // Feedback for the user echo "
Password Changed.
"; } else { // Issue with passwords matching echo "
Passwords did not match.
"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } // Generate Anti-CSRF token generateSessionToken(); ?>

可以看到,High级别的代码加入了Anti-CSRFtoken机制,用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端的请求。

2、漏洞复现

客户端访问修改密码页面->服务器发一个token->用户修改参数的请求中加入了token参数->服务器验证token->成功修改

构建这个恶意链接就不可取了因为token是随机的无法伪造

DVWA—CSRF(跨站请求伪造)_第12张图片

Medium和High的对比

Medium:客户端访问攻击页面->攻击页面将密码作为参数直接提交到修改密码页面

High:客户端访问攻击页面->攻击页面获取修改密码页面的token->将token和密码作为参数一起提交

问题在这一步上攻击页面获取修改密码页面的token

这一步属于跨域请求,浏览器已经禁止这么做了,所以想要完整这个操作,有两个思路:

第一, 将该js上传到服务器的目录下,这样就是同一个域了,不过如果可以这样,为啥不放木马呢?

第二, 利用xss,xss可以执行代码,获取token

xss更现实一点,但是也得需要该网站存在xss,所以单纯从这个修改密码页面,无法突破High漏洞

这里演示xss存储型 窃取cookie

使用火狐浏览器访问DVWA,点击XSS(存储型),点击浏览器右上角三个横杠——开发者

DVWA—CSRF(跨站请求伪造)_第13张图片

再点击查看器

DVWA—CSRF(跨站请求伪造)_第14张图片

搜索txtname,然后修改如下两个值

DVWA—CSRF(跨站请求伪造)_第15张图片

把如下脚本代码复制到名字(name)栏 ,留言(message)栏随便输入

DVWA—CSRF(跨站请求伪造)_第16张图片

点击提交留言,弹出token值,复制此值d5348cd5781260bf0e365ebb9002d31f

DVWA—CSRF(跨站请求伪造)_第17张图片

打开BP抓包,然后点击CSRF,修改密码,将红框内链接进行拼接,然后token值换成刚才复制的,构造恶意链接如下

http://172.16.12.10:81/vulnerabilities/csrf/?password_new=1111&password_conf=1111&Change=%E6%9B%B4%E6%94%B9&user_token=d5348cd5781260bf0e365ebb9002d31f

DVWA—CSRF(跨站请求伪造)_第18张图片

新开一个虚拟机,假设用户在这个机器上登录DVWA,安全等级调整为High,诱导用户点击恶意链接,发现密码成功修改

DVWA—CSRF(跨站请求伪造)_第19张图片

四、Impossible级

1、源码分析

prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "
Password Changed.
"; } else { // Issue with passwords matching echo "
Passwords did not match or current password incorrect.
"; } } // Generate Anti-CSRF token generateSessionToken(); ?>


可以看到,Impossible级别的代码利用PDO技术防御SQL注入,至于防护CSRF,则要求用户输入原始密码(简单粗暴),攻击者在不知道原始密码的情况下,无论如何都无法进行CSRF攻击。

你可能感兴趣的:(DVWA通关教程,安全漏洞,靶机,渗透测试)