开发笔记:新手DVWACSRF

作者：晴天逍遥 | 来源：互联网 | 2024-12-03 10:33

本文由编程笔记#小编为大家整理，主要介绍了新手DVWA-CSRF相关的知识，希望对你有一定的参考价值。CSRFCSRF (Cross Site Request Forgery)即跨站请求伪造，是一种挟

本文由编程笔记#小编为大家整理，主要介绍了新手DVWA-CSRF相关的知识，希望对你有一定的参考价值。

CSRF

CSRF (Cross Site Request Forgery)即跨站请求伪造，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法

low

服务器核心代码

php if( isset( $_GET[ ‘Change‘ ] ) ) { // Get input $pass_new = $_GET[ ‘password_new‘ ]; $pass_cOnf= $_GET[ ‘password_conf‘ ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do! $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update the database $insert = "UPDATE `users` SET password = ‘$pass_new‘ WHERE user = ‘" . dvwaCurrentUser() . "‘;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( ‘

‘ . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . ‘

‘ );
        // Feedback for the user
        echo "Password Changed.
";
    }
    else {
        // Issue with passwords matching
        echo "Passwords did not match.
";
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>

从代码看到，对比了输入密码和确认密码是否相同后，对其进行了防SQL注入的过滤，没发现防CSRF的功能

解法

直接构造链接：http://192.168.37.141:89/vulnerabilities/csrf/?password_new=password&password_cOnf=password&Change=Change#

技术图片

修改成功

medium

服务器核心代码

if( isset( $_GET[ ‘Change‘ ] ) ) { // Checks to see where the request came from if( stripos( $_SERVER[ ‘HTTP_REFERER‘ ] ,$_SERVER[ ‘SERVER_NAME‘ ]) !== false ) { // Get input $pass_new = $_GET[ ‘password_new‘ ]; $pass_cOnf= $_GET[ ‘password_conf‘ ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do! $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update the database $insert = "UPDATE `users` SET password = ‘$pass_new‘ WHERE user = ‘" . dvwaCurrentUser() . "‘;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( ‘

‘ . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . ‘

‘ );
            // Feedback for the user
            echo "Password Changed.
";
        }
        else {
            // Issue with passwords matching
            echo "Passwords did not match.
";
        }
    }
    else {
        // Didn‘t come from a trusted source
        echo "That request didn‘t look correct.
";
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>

medium难度的代码加了对Referer的判断，需要Referer中包含主机名

解法

burp抓个包改一下

技术图片

加入Referer

技术图片

修改成功

high

服务器核心代码

if( isset( $_GET[ ‘Change‘ ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ ‘user_token‘ ], $_SESSION[ ‘session_token‘ ], ‘index.php‘ ); // Get input $pass_new = $_GET[ ‘password_new‘ ]; $pass_cOnf= $_GET[ ‘password_conf‘ ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do! $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update the database $insert = "UPDATE `users` SET password = ‘$pass_new‘ WHERE user = ‘" . dvwaCurrentUser() . "‘;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( ‘

‘ . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . ‘

‘ );
        // Feedback for the user
        echo "Password Changed.
";
    }
    else {
        // Issue with passwords matching
        echo "Passwords did not match.
";
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
// Generate Anti-CSRF token
generateSessionToken();
?>

high难度代码加入了token来防CSRF，需要在修改密码时同时提交用户的token，所以这里的关键是获取token

常规思路是构造个页面，在用户点击的时候，代码访问修改密码的页面并获取token，然后拼接后提交，完成修改，然而现在的浏览器都不允许跨域访问，页面是不能获取到token的，所以这里仅利用CSRF是不能修改密码的（网上还有很多组合了XSS漏洞的方法，不过利用XSS能获取COOKIE应该直接登录也可以了）

impossible

服务器核心代码

if( isset( $_GET[ ‘Change‘ ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ ‘user_token‘ ], $_SESSION[ ‘session_token‘ ], ‘index.php‘ ); // Get input $pass_curr = $_GET[ ‘password_current‘ ]; $pass_new = $_GET[ ‘password_new‘ ]; $pass_cOnf= $_GET[ ‘password_conf‘ ]; // Sanitise current password input $pass_curr = stripslashes( $pass_curr ); $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_curr = md5( $pass_curr ); // Check that the current password is correct $data = $db->prepare( ‘SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;‘ ); $data->bindParam( ‘:user‘, dvwaCurrentUser(), PDO::PARAM_STR ); $data->bindParam( ‘:password‘, $pass_curr, PDO::PARAM_STR ); $data->execute(); // Do both new passwords match and does the current password match the user? if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) { // It does! $pass_new = stripslashes( $pass_new ); $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update database with new password $data = $db->prepare( ‘UPDATE users SET password = (:password) WHERE user = (:user);‘ ); $data->bindParam( ‘:password‘, $pass_new, PDO::PARAM_STR ); $data->bindParam( ‘:user‘, dvwaCurrentUser(), PDO::PARAM_STR ); $data->execute(); // Feedback for the user echo "

Password Changed.

";
    }
    else {
        // Issue with passwords matching
        echo "Passwords did not match or current password incorrect.
";
    }
}
// Generate Anti-CSRF token
generateSessionToken();
?>

直接输入当前密码，能获取到token也无解了

推荐阅读

text
Pikachu平台SQL注入漏洞详解

本文详细介绍了SQL注入漏洞的基本原理、攻击流程、不同类型注入点的识别与利用方法，以及基于union联合查询、报错信息、布尔盲注、时间盲注等多种技术手段的信息获取方式。同时，探讨了如何通过SQL注入获取操作系统权限，以及HTTP Header注入和宽字节注入等高级技巧。最后，提供了使用SQLMap自动化工具进行漏洞测试的方法和常见的SQL注入防御措施。 ... [详细]

蜡笔小新 2024-11-30 10:31:45
text
SQL注入实验：SqliLabs第38至45关解析

本文深入探讨了SqliLabs项目中的第38至45关，重点讲解了堆叠注入（Stacked Queries）的应用技巧及防御策略。通过实际案例分析，帮助读者理解如何利用和防范此类SQL注入攻击。 ... [详细]

蜡笔小新 2024-12-04 11:17:35
include
KKCMS代码审计初探

本文主要介绍了KKCMS的安装过程及其基本功能，重点分析了该系统中存在的验证码重用、SQL注入及XSS等安全问题。适合初学者作为入门指南。 ... [详细]

蜡笔小新 2024-12-04 09:30:07
hash
Shiro功能拓展：登录失败重试次数限制

本文详细介绍了如何在Apache Shiro框架中实现对用户登录失败重试次数的限制，通过自定义密码匹配器来增强系统的安全性。该方法不仅能够有效防止暴力破解攻击，还能确保合法用户的账户安全。 ... [详细]

蜡笔小新 2024-12-03 21:39:23
case
手把手教你构建简易JSON解析器

本文将带你深入了解JSON解析器的构建过程，通过实践掌握JSON解析的基本原理。适合所有对数据解析感兴趣的开发者。 ... [详细]

蜡笔小新 2024-12-03 10:07:48
hash
Zsh 开发指南（第三篇字符串处理之转义字符和格式化输出）

导读上一篇讲了zsh的常用字符串操作，这篇开始讲更为琐碎的转义字符和格式化输出相关内容。包括转义字符、引号、print、printf的使用等等。其中很多内容没有必要记忆，作为手册参 ... [详细]

蜡笔小新 2024-12-03 03:30:40
case
前端监控系列2 | 深入探讨JS错误监控的重要性与实践

作者：彭莉，火山引擎APM研发工程师，专注于前端监控技术的研发。本文将深入讨论JS错误监控的必要性及其实现方法，帮助开发者更好地理解和应用这一技术。 ... [详细]

蜡笔小新 2024-12-01 13:42:16
client
深入解析Java设计模式之责任链模式

责任链模式通过将处理请求的对象链接成一条链，确保每个请求能够沿着这条链传递，直至找到合适的处理者。本文将详细介绍责任链模式的原理、优势、局限及实际应用案例。 ... [详细]

蜡笔小新 2024-12-01 13:30:45
text
Java类中通过工具类访问Spring Bean的方法

本文介绍了一种通过自定义工具类实现Spring的ApplicationContextAware接口来获取Spring容器中Bean的方法，并提供了详细的代码示例和配置说明。 ... [详细]

蜡笔小新 2024-11-30 12:21:47
go
POJ 3472 空心方格铺砖问题（高精度计算）

题目描述：给定一个(n+1)×(n+1)的方格，其中包含一个(n-1)×(n-1)的空洞。使用1×2的砖块进行铺设，求解不同的铺设方案总数。 ... [详细]

蜡笔小新 2024-12-04 09:12:39
text
FastCGI 分布式架构解析

本文探讨了使用Lighttpd与FastCGI实现分布式部署的方法。通过在中心服务器上配置Lighttpd负责请求转发，同时在多个远程服务器上运行FastCGI进程来处理实际业务逻辑，从而提高系统的负载能力和响应速度。 ... [详细]

蜡笔小新 2024-12-04 04:09:07
text
Node.js Buffer.byteLength 方法详解

Buffer.byteLength 方法用于计算给定字符串或数据对象的实际字节长度，支持多种数据类型和编码方式。 ... [详细]

蜡笔小新 2024-12-03 14:55:24
go
Python与MySQL交互指南：从基础到进阶

本文深入探讨了Python与MySQL数据库的集成方法，包括数据库连接、数据表创建、索引管理、数据操作以及如何防止SQL注入等关键内容。适合初学者及希望提升数据库操作技能的开发者。 ... [详细]

蜡笔小新 2024-11-30 01:42:41
text
hibernate报错

这个报错出现在userDao里面，sessionfactory没有注入。解决办法：spring整合Hibernate使用test测试时要把spring.xml和spring-hib ... [详细]

蜡笔小新 2024-11-28 16:52:44
text
Flutter与Angular的对比分析

本文探讨了Flutter和Angular这两个流行框架的主要区别，包括它们的设计理念、适用场景及技术实现。 ... [详细]

蜡笔小新 2024-11-28 13:19:52

晴天逍遥

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章