DVWA靶场CSRF漏洞通关教程及源码审计
目录标题
- CSRF
- low
- 源码审计
- medium
- 源码审计
- high
- 源码审计
- impossible
- 源码审计
CSRF
low
先修改密码
看到地址栏
复制在另一个网页打开
成功登录
源码审计
没有任何过滤措施,很危险,并且采用了不安全的md5加密
<?phpif( isset( $_GET[ 'Change' ] ) ) { // 检查是否通过GET请求提交了"Change"参数// 获取输入$pass_new = $_GET[ 'password_new' ]; // 获取新密码$pass_conf = $_GET[ 'password_conf' ]; // 获取确认密码// 检查密码是否一致if( $pass_new == $pass_conf ) { // 如果新密码和确认密码匹配// 匹配成功$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); // 对新密码进行数据库转义处理$pass_new = md5( $pass_new ); // 对密码进行MD5加密// 更新数据库$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"; // 创建更新密码的SQL语句$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); // 执行SQL查询,如果出错则显示错误信息// 用户反馈$html .= "<pre>Password Changed.</pre>"; // 提示用户密码已更改}else { // 如果密码不匹配// 密码匹配出错$html .= "<pre>Passwords did not match.</pre>"; // 提示用户密码不一致}((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); // 关闭数据库连接
}
?>
medium
打开burp缺少referer头
补上重新发送
源码审计
第4行设置了请求来源防止跨站伪造请求
<?php
if( isset( $_GET[ 'Change' ] ) ) { // 检查是否通过GET请求提交了"Change"参数// 检查请求来源if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) { // 如果请求来源是当前服务器// 获取输入$pass_new = $_GET[ 'password_new' ]; // 获取新密码$pass_conf = $_GET[ 'password_conf' ]; // 获取确认密码// 检查密码是否一致if( $pass_new == $pass_conf ) { // 如果新密码和确认密码匹配// 匹配成功$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); // 对新密码进行数据库转义处理$pass_new = md5( $pass_new ); // 对密码进行MD5加密// 更新数据库$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"; // 创建更新密码的SQL语句$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); // 执行SQL查询,如果出错则显示错误信息// 用户反馈$html .= "<pre>Password Changed.</pre>"; // 提示用户密码已更改}else { // 如果密码不匹配// 密码匹配出错$html .= "<pre>Passwords did not match.</pre>"; // 提示用户密码不一致}}else { // 如果请求不是来自受信任的来源// 处理不正确的请求$html .= "<pre>That request didn't look correct.</pre>"; // 提示请求看起来不正确}((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); // 关闭数据库连接
}
?>
high
这一关多了token,只要保证与浏览器的token对上即可
源码审计
通过POST请求传送JSON格式的数据,也支持传统的表单提交。代码首先检查请求是否合法,并提取用户令牌、新密码和确认密码。然后验证密码是否匹配,如果匹配,则对新密码进行安全处理(转义和加密),并更新数据库中的数据
<?php
$change = false; // 初始化一个变量用于标记是否发生了更改
$request_type = "html"; // 默认请求类型为HTML
$return_message = "Request Failed"; // 默认返回信息为请求失败
// 检查请求方法是否为POST并且内容类型为JSON
if ($_SERVER['REQUEST_METHOD'] == "POST" && array_key_exists ("CONTENT_TYPE", $_SERVER) && $_SERVER['CONTENT_TYPE'] == "application/json") {$data = json_decode(file_get_contents('php://input'), true); // 解析JSON格式的输入数据$request_type = "json"; // 将请求类型设置为JSON// 检查请求中是否包含用户令牌、新密码、确认密码和更改请求if (array_key_exists("HTTP_USER_TOKEN", $_SERVER) &&array_key_exists("password_new", $data) &&array_key_exists("password_conf", $data) &&array_key_exists("Change", $data)) {$token = $_SERVER['HTTP_USER_TOKEN']; // 获取用户令牌$pass_new = $data["password_new"]; // 获取新密码$pass_conf = $data["password_conf"]; // 获取确认密码$change = true; // 标记为发生更改}
} else {// 如果请求不是JSON格式,检查是否通过表单提交if (array_key_exists("user_token", $_REQUEST) &&array_key_exists("password_new", $_REQUEST) &&array_key_exists("password_conf", $_REQUEST) &&array_key_exists("Change", $_REQUEST)) {$token = $_REQUEST["user_token"]; // 获取用户令牌$pass_new = $_REQUEST["password_new"]; // 获取新密码$pass_conf = $_REQUEST["password_conf"]; // 获取确认密码$change = true; // 标记为发生更改}
}
// 如果发生了更改
if ($change) {// 检查反CSRF令牌checkToken($token, $_SESSION['session_token'], 'index.php');// 检查密码是否匹配if ($pass_new == $pass_conf) { // 如果新密码和确认密码匹配// 匹配成功$pass_new = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new); // 对新密码进行转义处理$pass_new = md5($pass_new); // 对密码进行MD5加密// 更新数据库$insert = "UPDATE `users` SET password = '" . $pass_new . "' WHERE user = '" . dvwaCurrentUser() . "';"; // 创建更新密码的SQL语句$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert); // 执行SQL查询// 用户反馈$return_message = "Password Changed."; // 提示用户密码已更改} else {// 密码不匹配$return_message = "Passwords did not match."; // 提示用户密码不一致}mysqli_close($GLOBALS["___mysqli_ston"]); // 关闭数据库连接// 根据请求类型返回不同格式的反馈if ($request_type == "json") {generateSessionToken(); // 生成新的反CSRF令牌header("Content-Type: application/json"); // 设置响应内容类型为JSONprint json_encode(array("Message" => $return_message)); // 返回JSON格式的消息exit; // 退出脚本执行} else {$html .= "<pre>" . $return_message . "</pre>"; // 将消息添加到HTML输出中}
}
// 生成反CSRF令牌
generateSessionToken();
?>
impossible
源码审计
设置了多种验证,是很安全的方式
<?php
if( isset( $_GET[ 'Change' ] ) ) { // 检查是否存在 'Change' 参数// 检查反CSRF令牌checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );// 获取输入信息$pass_curr = $_GET[ 'password_current' ]; // 当前密码$pass_new = $_GET[ 'password_new' ]; // 新密码$pass_conf = $_GET[ 'password_conf' ]; // 确认密码// 清理当前密码输入$pass_curr = stripslashes( $pass_curr ); // 去除反斜杠$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));$pass_curr = md5( $pass_curr ); // 对当前密码进行MD5加密// 检查当前密码是否正确$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' ); // 准备SQL查询$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR ); // 绑定用户名参数$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR ); // 绑定当前密码参数$data->execute(); // 执行查询// 检查新密码和确认密码是否匹配,以及当前密码是否正确if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {// 一切正常!$pass_new = stripslashes( $pass_new ); // 去除反斜杠$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));$pass_new = md5( $pass_new ); // 对新密码进行MD5加密// 更新数据库中的新密码$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' ); // 准备更新SQL语句$data->bindParam( ':password', $pass_new, PDO::PARAM_STR ); // 绑定新密码参数$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR ); // 绑定用户名参数$data->execute(); // 执行更新// 用户反馈$html .= "<pre>Password Changed.</pre>"; // 提示用户密码已更改} else {// 密码匹配出现问题$html .= "<pre>Passwords did not match or current password incorrect.</pre>"; // 提示用户密码未匹配或当前密码不正确}
}// 生成反CSRF令牌
generateSessionToken();
?>