CSRF漏洞详解与挖掘

CSRF的定义：

CSRF，全称Cross-site request forgery，翻译过来就是跨站请求伪造，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。

CSRF攻击原理如下：

用户打开浏览器，访问登陆受信任的A网站

在用户信息通过验证后，服务器会返回一个cookie给浏览器，用户登陆网站A成功，可以正常发送请求到网站A

用户未退出网站A，在同一浏览器中，打开一个危险网站B

网站B收到用户请求后，返回一些恶意代码，并发出请求要求访问网站A

浏览器收到这些恶意代码以后，在用户不知情的情况下，利用cookie信息，向网站A发送恶意请求，网站A会根据cookie信息以用户的权限去处理该请求，导致来自网站B的恶意代码被执行

这样太过于官方，简单来说就是通过构造URL造成攻击的就是CSRF，用目标的cookie来执行我们的攻击

挖掘工具

burp

AWVS

appscan

netspark

CSRFTester(后台回复12855)

CSRF Request Builder

DVWA靶场演练

初级

更改密码发现构造如下

1.http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#

发现规律

1.password_new=admin&password_conf=admin

两者对应，在表单中为新密码与确认新密码，为此我们构造链接如下

1.http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin123&password_conf=admin123&Change=Change#

一个扩外的知识点:同学们注意到"?“后跟参数的规律了吧，后续再次拼接就不需要再用问号，使用”&"进行拼接

返回值为；Password Changed.代表我们操作成功

查看背后代码

例子0X00

1. <?php   if( isset( $_GET[ 'Change' ] ) ) {     // Get input     $pass_new  = $_GET[ 'password_new' ];     $pass_conf = $_GET[ 'password_conf' ];      // Do the passwords match?     if( $pass_new == $pass_conf ) {         // They do!         $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));         $pass_new = md5( $pass_new );          // Update the database         $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";         $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );          // Feedback for the user         echo "<pre>Password Changed.</pre>";     }     else {         // Issue with passwords matching         echo "<pre>Passwords did not match.</pre>";     }      ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); }  ?>

我们发现，在第九行上

1.   if( $pass_new == $pass_conf )

代码中服务器只进行了两次密码输入是否相同的验证，如果相同则会修改密码

中级

重放修改操作，发现在构造URL时，返回错误。

URL：

1.http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin1&password_conf=admin1&Change=Change#

1. That request didn't look correct.#那个要求看起来不太正确。

我们并没有修改成功，为了节约时间，我看了对应的源码如下

例子0X01

1.<?php  if( isset( $_GET[ 'Change' ] ) ) {     // Checks to see where the request came from     if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {         // Get input         $pass_new  = $_GET[ 'password_new' ];         $pass_conf = $_GET[ 'password_conf' ];          // Do the passwords match?         if( $pass_new == $pass_conf ) {             // They do!             $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));             $pass_new = md5( $pass_new );              // Update the database             $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";             $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );              // Feedback for the user             echo "<pre>Password Changed.</pre>";         }         else {             // Issue with passwords matching             echo "<pre>Passwords did not match.</pre>";         }     }     else {         // Didn't come from a trusted source         echo "<pre>That request didn't look correct.</pre>";     }      ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); }  ?>

其对应的第五行我发现了

1. if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false )

代码中使用stripos()函数判断Referer参数中是否包含Host参数

stripos() 函数查找字符串在另一字符串中第一次出现的位置

细节1：stripos() 函数是不区分大小写的。

细节2：该函数是二进制并且是安全的。

其语法为

1. stripos(string,find,start)

知识点：返回字符串在另一字符串中第一次出现的位置，如果没有找到字符串则返回 FALSE，这里看懂了那行代码了吗？

细节：字符串位置从 0 开始，不是从 1 开始。

那我们只能从包下手，既然检测referer参数，那么咱们就构造这个参数。

首先先过一遍正常操作，截取referer如下；

1.Referer:http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change

构造URL

1.http://127.0.0.1/dwva/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#

抓包修改为咱们截取的referer,点击intercept is on(burp),返回Password Changed.我们操作成功

困难

首先我抓了个包，如下

1.GET /dwva/vulnerabilities/csrf/?password_new=admin1&password_conf=admin1&Change=Change&user_token=1e457f530db4c98d317a676e042319ad HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate DNT: 1 Referer: http://127.0.0.1/dwva/vulnerabilities/csrf/ Cookie: security=high; PHPSESSID=1vp4qsnhuarsp59enbrv5gtio4 X-Forwarded-For: 8.8.8.8 Connection: keep-alive Upgrade-Insecure-Requests: 1

与以往不同的是增加了user_token

token机制内容；每次访问修改密码的页面时，服务器都会返回一个随机的token，向服务器发起请求时，需要提交token参数，而服务器在收到请求时，会优先检查token是否正确，只有token正确，才会继续处理客户端请求。

常见思路

抓取目标cookie然后获得token，再利用token来修改密码

可这样我们就要涉及到游览器的同源策略了。有的同学不知道什么是同源策略，这里简单的引用《白帽子讲WEB安全》一书中对同源策略的讲解如下；

游览器的同源策略，限制了来自不同源的“document（文件）”或脚本，对当前的“document（文件）”读取或设置某些属性

简单的理解为

不同源的客户端脚本，在没有明确授权的情况下，不能互相读写对方资源，不允许进行跨域

要解决这个问题就要xss注入了，把我们的文件注入到对方服务器上去。

点击[XSS (Stored)]我们开始写入一个简单的表单进行提交并抓包。如下所示

1.POST /dwva/vulnerabilities/xss_s/ HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate DNT: 1 Referer: http://127.0.0.1/dwva/vulnerabilities/xss_s/ Cookie: security=high; PHPSESSID=1vp4qsnhuarsp59enbrv5gtio4 X-Forwarded-For: 8.8.8.8 Connection: keep-alive Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded Content-Length: 54  txtName=sssassd&mtxMessage=ssss&btnSign=Sign+Guestbook

修改txtName为

1. txtName=<iframe src="../csrf" />
2. &mtxMessage=ssss&btnSign=Sign+Guestbook



1.从弹窗中拿到我们的token；ce3a5ec7491742e4062f2f60a05a9c93并post提交

构造

1./dwva/vulnerabilities/csrf/index.php?password_new=password&password_conf=password&Change=Change&user_token=ce3a5ec7491742e4062f2f60a05a9c93

【环境搭建资料、工具包、全套视频…等籽料】点此聆取
修改成功。

挖掘CSRF漏洞

CSRF用于越权操作，漏洞在有权限控制的地方，其构造URL或者get提交，都可以测一测。

黑盒

打开非静态操作的页面，抓包查看是否存在token，如果没有token，直接请求这个页面，不带referer，如果返回的数据是一样的话，那说明很有可能有CSRF漏洞了。

白盒

读代码的时候看看核心文件里有没有验证token和referer相关的代码。可以直接搜索token关键字。

使用工具

半自动检测CSRF

使用CSRFTester教程https://www.sogou.com/link?url=DSOYnZeCC_p8qT7bQ6Ez_IrwkGJvRRLdYQYE4_vHjb03UFOatHCO_d9GQw9zhM_U


下载地址；http://www.mediafire.com/file/3j9kbyd3rtardq5/CSRFTester-1.0-src.zip/file

如何防止CSRF攻击

 加验证码

尽量使用POST，少用GET

验证HTTP Referer字段

 在请求地址中添加token并验证

扩展阅读

session与cookie详解：http://www.imooc.com/art

CSRF漏洞详解与挖掘

相关文章

云原生之K8S------list-watch机制，调度约束以及故障排查

Qt编写跨平台RTSP/RTMP/HTTP视频流播放器

Linux从入门到实战 ----文件属性类

物联网感知-光纤光栅传感器技术

小白学习，在kali里面用volatility3，一步一步细致操作，解决问题。建议电子取证选手好好看看。

windows10安装redis服务【成功安装】

电子邮件营销初学者指南（三）：8个成功策略

LongAdder的源码学习与理解