DVWA靶场CSRF漏洞通关教程及源码审计
目录标题
- CSRF
- low
- 源码审计
- medium
- 源码审计
- high
- 源码审计
- impossible
- 源码审计
CSRF
low
先修改密码
看到地址栏
复制在另一个网页打开
成功登录
源码审计
没有任何过滤措施,很危险,并且采用了不安全的md5加密
<?php
if( isset( $_GET[ 'Change' ] ) ) { // 检查是否通过GET请求提交了"Change"参数
// 获取输入
$pass_new = $_GET[ 'password_new' ]; // 获取新密码
$pass_conf = $_GET[ 'password_conf' ]; // 获取确认密码
// 检查密码是否一致
if( $pass_new == $pass_conf ) { // 如果新密码和确认密码匹配
// 匹配成功
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); // 对新密码进行数据库转义处理
$pass_new = md5( $pass_new ); // 对密码进行MD5加密
// 更新数据库
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"; // 创建更新密码的SQL语句
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); // 执行SQL查询,如果出错则显示错误信息
// 用户反馈
$html .= "<pre>Password Changed.</pre>"; // 提示用户密码已更改
}
else { // 如果密码不匹配
// 密码匹配出错
$html .= "<pre>Passwords did not match.</pre>"; // 提示用户密码不一致
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); // 关闭数据库连接
}
?>
medium
打开burp缺少referer头
补上重新发送
源码审计
第4行设置了请求来源防止跨站伪造请求
<?php
if( isset( $_GET[ 'Change' ] ) ) { // 检查是否通过GET请求提交了"Change"参数
// 检查请求来源
if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) { // 如果请求来源是当前服务器
// 获取输入
$pass_new = $_GET[ 'password_new' ]; // 获取新密码
$pass_conf = $_GET[ 'password_conf' ]; // 获取确认密码
// 检查密码是否一致
if( $pass_new == $pass_conf ) { // 如果新密码和确认密码匹配
// 匹配成功
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); // 对新密码进行数据库转义处理
$pass_new = md5( $pass_new ); // 对密码进行MD5加密
// 更新数据库
$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"; // 创建更新密码的SQL语句
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' ); // 执行SQL查询,如果出错则显示错误信息
// 用户反馈
$html .= "<pre>Password Changed.</pre>"; // 提示用户密码已更改
}
else { // 如果密码不匹配
// 密码匹配出错
$html .= "<pre>Passwords did not match.</pre>"; // 提示用户密码不一致
}
}
else { // 如果请求不是来自受信任的来源
// 处理不正确的请求
$html .= "<pre>That request didn't look correct.</pre>"; // 提示请求看起来不正确
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res); // 关闭数据库连接
}
?>
high
这一关多了token,只要保证与浏览器的token对上即可
源码审计
通过POST请求传送JSON格式的数据,也支持传统的表单提交。代码首先检查请求是否合法,并提取用户令牌、新密码和确认密码。然后验证密码是否匹配,如果匹配,则对新密码进行安全处理(转义和加密),并更新数据库中的数据
<?php
$change = false; // 初始化一个变量用于标记是否发生了更改
$request_type = "html"; // 默认请求类型为HTML
$return_message = "Request Failed"; // 默认返回信息为请求失败
// 检查请求方法是否为POST并且内容类型为JSON
if ($_SERVER['REQUEST_METHOD'] == "POST" && array_key_exists ("CONTENT_TYPE", $_SERVER) && $_SERVER['CONTENT_TYPE'] == "application/json") {
$data = json_decode(file_get_contents('php://input'), true); // 解析JSON格式的输入数据
$request_type = "json"; // 将请求类型设置为JSON
// 检查请求中是否包含用户令牌、新密码、确认密码和更改请求
if (array_key_exists("HTTP_USER_TOKEN", $_SERVER) &&
array_key_exists("password_new", $data) &&
array_key_exists("password_conf", $data) &&
array_key_exists("Change", $data)) {
$token = $_SERVER['HTTP_USER_TOKEN']; // 获取用户令牌
$pass_new = $data["password_new"]; // 获取新密码
$pass_conf = $data["password_conf"]; // 获取确认密码
$change = true; // 标记为发生更改
}
} else {
// 如果请求不是JSON格式,检查是否通过表单提交
if (array_key_exists("user_token", $_REQUEST) &&
array_key_exists("password_new", $_REQUEST) &&
array_key_exists("password_conf", $_REQUEST) &&
array_key_exists("Change", $_REQUEST)) {
$token = $_REQUEST["user_token"]; // 获取用户令牌
$pass_new = $_REQUEST["password_new"]; // 获取新密码
$pass_conf = $_REQUEST["password_conf"]; // 获取确认密码
$change = true; // 标记为发生更改
}
}
// 如果发生了更改
if ($change) {
// 检查反CSRF令牌
checkToken($token, $_SESSION['session_token'], 'index.php');
// 检查密码是否匹配
if ($pass_new == $pass_conf) { // 如果新密码和确认密码匹配
// 匹配成功
$pass_new = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new); // 对新密码进行转义处理
$pass_new = md5($pass_new); // 对密码进行MD5加密
// 更新数据库
$insert = "UPDATE `users` SET password = '" . $pass_new . "' WHERE user = '" . dvwaCurrentUser() . "';"; // 创建更新密码的SQL语句
$result = mysqli_query($GLOBALS["___mysqli_ston"], $insert); // 执行SQL查询
// 用户反馈
$return_message = "Password Changed."; // 提示用户密码已更改
} else {
// 密码不匹配
$return_message = "Passwords did not match."; // 提示用户密码不一致
}
mysqli_close($GLOBALS["___mysqli_ston"]); // 关闭数据库连接
// 根据请求类型返回不同格式的反馈
if ($request_type == "json") {
generateSessionToken(); // 生成新的反CSRF令牌
header("Content-Type: application/json"); // 设置响应内容类型为JSON
print json_encode(array("Message" => $return_message)); // 返回JSON格式的消息
exit; // 退出脚本执行
} else {
$html .= "<pre>" . $return_message . "</pre>"; // 将消息添加到HTML输出中
}
}
// 生成反CSRF令牌
generateSessionToken();
?>
impossible
源码审计
设置了多种验证,是很安全的方式
<?php
if( isset( $_GET[ 'Change' ] ) ) { // 检查是否存在 'Change' 参数
// 检查反CSRF令牌
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// 获取输入信息
$pass_curr = $_GET[ 'password_current' ]; // 当前密码
$pass_new = $_GET[ 'password_new' ]; // 新密码
$pass_conf = $_GET[ 'password_conf' ]; // 确认密码
// 清理当前密码输入
$pass_curr = stripslashes( $pass_curr ); // 去除反斜杠
$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_curr = md5( $pass_curr ); // 对当前密码进行MD5加密
// 检查当前密码是否正确
$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' ); // 准备SQL查询
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR ); // 绑定用户名参数
$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR ); // 绑定当前密码参数
$data->execute(); // 执行查询
// 检查新密码和确认密码是否匹配,以及当前密码是否正确
if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
// 一切正常!
$pass_new = stripslashes( $pass_new ); // 去除反斜杠
$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$pass_new = md5( $pass_new ); // 对新密码进行MD5加密
// 更新数据库中的新密码
$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' ); // 准备更新SQL语句
$data->bindParam( ':password', $pass_new, PDO::PARAM_STR ); // 绑定新密码参数
$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR ); // 绑定用户名参数
$data->execute(); // 执行更新
// 用户反馈
$html .= "<pre>Password Changed.</pre>"; // 提示用户密码已更改
} else {
// 密码匹配出现问题
$html .= "<pre>Passwords did not match or current password incorrect.</pre>"; // 提示用户密码未匹配或当前密码不正确
}
}
// 生成反CSRF令牌
generateSessionToken();
?>