开发笔记:新手DVWACSRF

作者：晴天逍遥 | 来源：互联网 | 2024-12-03 10:33

本文由编程笔记#小编为大家整理，主要介绍了新手DVWA-CSRF相关的知识，希望对你有一定的参考价值。CSRFCSRF (Cross Site Request Forgery)即跨站请求伪造，是一种挟

本文由编程笔记#小编为大家整理，主要介绍了新手DVWA-CSRF相关的知识，希望对你有一定的参考价值。

CSRF

CSRF (Cross Site Request Forgery)即跨站请求伪造，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法

low

服务器核心代码

php if( isset( $_GET[ ‘Change‘ ] ) ) { // Get input $pass_new = $_GET[ ‘password_new‘ ]; $pass_cOnf= $_GET[ ‘password_conf‘ ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do! $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update the database $insert = "UPDATE `users` SET password = ‘$pass_new‘ WHERE user = ‘" . dvwaCurrentUser() . "‘;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( ‘

‘ . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . ‘

‘ );
        // Feedback for the user
        echo "Password Changed.
";
    }
    else {
        // Issue with passwords matching
        echo "Passwords did not match.
";
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>

从代码看到，对比了输入密码和确认密码是否相同后，对其进行了防SQL注入的过滤，没发现防CSRF的功能

解法

直接构造链接：http://192.168.37.141:89/vulnerabilities/csrf/?password_new=password&password_cOnf=password&Change=Change#

技术图片

修改成功

medium

服务器核心代码

if( isset( $_GET[ ‘Change‘ ] ) ) { // Checks to see where the request came from if( stripos( $_SERVER[ ‘HTTP_REFERER‘ ] ,$_SERVER[ ‘SERVER_NAME‘ ]) !== false ) { // Get input $pass_new = $_GET[ ‘password_new‘ ]; $pass_cOnf= $_GET[ ‘password_conf‘ ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do! $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update the database $insert = "UPDATE `users` SET password = ‘$pass_new‘ WHERE user = ‘" . dvwaCurrentUser() . "‘;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( ‘

‘ . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . ‘

‘ );
            // Feedback for the user
            echo "Password Changed.
";
        }
        else {
            // Issue with passwords matching
            echo "Passwords did not match.
";
        }
    }
    else {
        // Didn‘t come from a trusted source
        echo "That request didn‘t look correct.
";
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>

medium难度的代码加了对Referer的判断，需要Referer中包含主机名

解法

burp抓个包改一下

技术图片

加入Referer

技术图片

修改成功

high

服务器核心代码

if( isset( $_GET[ ‘Change‘ ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ ‘user_token‘ ], $_SESSION[ ‘session_token‘ ], ‘index.php‘ ); // Get input $pass_new = $_GET[ ‘password_new‘ ]; $pass_cOnf= $_GET[ ‘password_conf‘ ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do! $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update the database $insert = "UPDATE `users` SET password = ‘$pass_new‘ WHERE user = ‘" . dvwaCurrentUser() . "‘;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( ‘

‘ . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . ‘

‘ );
        // Feedback for the user
        echo "Password Changed.
";
    }
    else {
        // Issue with passwords matching
        echo "Passwords did not match.
";
    }
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
// Generate Anti-CSRF token
generateSessionToken();
?>

high难度代码加入了token来防CSRF，需要在修改密码时同时提交用户的token，所以这里的关键是获取token

常规思路是构造个页面，在用户点击的时候，代码访问修改密码的页面并获取token，然后拼接后提交，完成修改，然而现在的浏览器都不允许跨域访问，页面是不能获取到token的，所以这里仅利用CSRF是不能修改密码的（网上还有很多组合了XSS漏洞的方法，不过利用XSS能获取COOKIE应该直接登录也可以了）

impossible

服务器核心代码

if( isset( $_GET[ ‘Change‘ ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ ‘user_token‘ ], $_SESSION[ ‘session_token‘ ], ‘index.php‘ ); // Get input $pass_curr = $_GET[ ‘password_current‘ ]; $pass_new = $_GET[ ‘password_new‘ ]; $pass_cOnf= $_GET[ ‘password_conf‘ ]; // Sanitise current password input $pass_curr = stripslashes( $pass_curr ); $pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_curr = md5( $pass_curr ); // Check that the current password is correct $data = $db->prepare( ‘SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;‘ ); $data->bindParam( ‘:user‘, dvwaCurrentUser(), PDO::PARAM_STR ); $data->bindParam( ‘:password‘, $pass_curr, PDO::PARAM_STR ); $data->execute(); // Do both new passwords match and does the current password match the user? if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) { // It does! $pass_new = stripslashes( $pass_new ); $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update database with new password $data = $db->prepare( ‘UPDATE users SET password = (:password) WHERE user = (:user);‘ ); $data->bindParam( ‘:password‘, $pass_new, PDO::PARAM_STR ); $data->bindParam( ‘:user‘, dvwaCurrentUser(), PDO::PARAM_STR ); $data->execute(); // Feedback for the user echo "

Password Changed.

";
    }
    else {
        // Issue with passwords matching
        echo "Passwords did not match or current password incorrect.
";
    }
}
// Generate Anti-CSRF token
generateSessionToken();
?>

直接输入当前密码，能获取到token也无解了

推荐阅读

mysql
深入理解 SQL 视图、存储过程与事务

本文详细介绍了SQL中的视图、存储过程和事务的概念及应用。视图为用户提供了一种灵活的数据查询方式，存储过程则封装了复杂的SQL逻辑，而事务确保了数据库操作的完整性和一致性。 ... [详细]

蜡笔小新 2024-12-27 17:40:42
install
使用Vultr云服务器和Namesilo域名搭建个人网站

本文详细介绍了如何通过Vultr云服务器和Namesilo域名搭建一个功能齐全的个人网站，包括购买、配置服务器以及绑定域名的具体步骤。文章还提供了详细的命令行操作指南，帮助读者顺利完成建站过程。 ... [详细]

蜡笔小新 2024-12-26 16:36:34
string
深入理解Cookie与Session会话管理

本文详细介绍了如何通过HTTP响应和请求处理浏览器的Cookie信息，以及如何创建、设置和管理Cookie。同时探讨了会话跟踪技术中的Session机制，解释其原理及应用场景。 ... [详细]

蜡笔小新 2024-12-27 18:20:43
filter
Yii2 GridView 实现列表页数据直接编辑的完整指南

本文详细介绍了如何使用 Yii2 的 GridView 组件在列表页面实现数据的直接编辑功能。通过具体的代码示例和步骤，帮助开发者快速掌握这一实用技巧。 ... [详细]

蜡笔小新 2024-12-27 16:27:52
string
Python学习笔记：使用pydoc工具查询文档

本文介绍了在Windows环境下使用pydoc工具的方法，并详细解释了如何通过命令行和浏览器查看Python内置函数的文档。此外，还提供了关于raw_input和open函数的具体用法和功能说明。 ... [详细]

蜡笔小新 2024-12-26 17:05:56
install
Python 爬虫基础教程及代码实例

根据最新发布的《互联网人才趋势报告》，尽管大量IT从业者已转向Python开发，但随着人工智能和大数据领域的迅猛发展，仍存在巨大的人才缺口。本文将详细介绍如何使用Python编写一个简单的爬虫程序，并提供完整的代码示例。 ... [详细]

蜡笔小新 2024-12-26 10:42:40
install
MySQL LAST_INSERT_ID() 函数深入解析

本文详细介绍了 MySQL 中 LAST_INSERT_ID() 函数的使用方法及其工作原理，包括如何获取最后一个插入记录的自增 ID、多行插入时的行为以及在不同客户端环境下的表现。 ... [详细]

蜡笔小新 2024-12-25 22:04:04
js
2023 ARM嵌入式系统全国技术巡讲

2023 ARM嵌入式系统全国技术巡讲旨在分享ARM公司在半导体知识产权(IP)领域的最新进展。作为全球领先的IP提供商，ARM在嵌入式处理器市场占据主导地位，其产品广泛应用于90%以上的嵌入式设备中。此次巡讲将邀请来自ARM、飞思卡尔以及华清远见教育集团的行业专家，共同探讨当前嵌入式系统的前沿技术和应用。 ... [详细]

蜡笔小新 2024-12-28 11:58:48
perl
解决 IIS 中 PHP 页面无法访问的问题

本文介绍如何解决在 IIS 环境下 PHP 页面无法找到的问题。主要步骤包括配置 Internet 信息服务管理器中的 ISAPI 扩展和 Active Server Pages 设置，确保 PHP 脚本能够正常运行。 ... [详细]

蜡笔小新 2024-12-28 11:54:54
perl
优化联通光猫DNS服务器设置

本文详细介绍了如何为联通光猫配置DNS服务器地址，以提高网络解析效率和访问体验。通过智能线路解析功能，域名解析可以根据访问者的IP来源和类型进行差异化处理，从而实现更优的网络性能。 ... [详细]

蜡笔小新 2024-12-28 11:28:18
string
优化ListView性能

本文深入探讨了如何通过多种技术手段优化ListView的性能，包括视图复用、ViewHolder模式、分批加载数据、图片优化及内存管理等。这些方法能够显著提升应用的响应速度和用户体验。 ... [详细]

蜡笔小新 2024-12-28 10:36:30
plugins
JQuery基础：省市联动与表单验证

本文介绍了如何使用JQuery实现省市二级联动和表单验证。首先，通过change事件监听用户选择的省份，并动态加载对应的城市列表。其次，详细讲解了使用Validation插件进行表单验证的方法，包括内置规则、自定义规则及实时验证功能。 ... [详细]

蜡笔小新 2024-12-27 17:10:48
js
分页插件3指定到某一页

前言--页数多了以后需要指定到某一页（只做了功能，样式没有细调）html ... [详细]

蜡笔小新 2024-12-27 15:19:01
string
扫描线三巨头 hdu1928hdu 1255 hdu 1542 [POJ 1151]

学习链接：http:blog.csdn.netlwt36articledetails48908031学习扫描线主要学习的是一种扫描的思想，后期可以求解很 ... [详细]

蜡笔小新 2024-12-26 20:04:36
javascript
根据条件动态控制文件选择文本的显示

本文讨论了如何根据特定条件动态显示或隐藏文件上传控件中的默认文本（如“未选择文件”）。通过结合CSS和JavaScript，可以实现更灵活的用户界面。 ... [详细]

蜡笔小新 2024-12-26 15:45:21

晴天逍遥

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章