• 【CSRF技巧拓展】————1、用代码来细说Csrf漏洞危害以及防御


    0x01 CSRF介绍:

    CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

    0x02 CSRF环境搭建:

    环境搭建嘛,肯定要PHP的咯,不过别担心,这不有俺在嘛 我给你尝尝代码的味道。
    CSRF测试代码:

    <?php
    header("Content-Type:text/html;charset=utf-8");
    if(isset($_POST['sub'])){
            $username = $_POST['username'];
            $password = $_POST['password'];
            $conn = mysql_connect("localhost","root","root");
            $db=mysql_select_db("test");
            $query = mysql_query("SET NAMES 'gbk'");
            $sql="INSERT INTO `adminsql` (`id` ,`username` ,`password`)VALUES (13 , '$username' , '$password')";
            $row=mysql_query($sql); //执行sql插入语句
            $sql="SELECT * FROM adminsql";
            if($row=mysql_query($sql)){
                    while($rows = mysql_fetch_array($row)){
                    echo "user:{$rows['username']}-----pass:{$rows['password']}"."<br/>";
            }
     
    }
    }
    ?>
     
    <!DOCTYPE html>
    <html>
    <head>
            <title>CSRF利用场所</title>
    </head>
    <body>
    <b><h2>CSRF测试环境</h2></b>
    <form action="" method="post">
            <b>user:<input type="text" name="username" /></b>
            <b>pass:<input type="password" name="password" /></b>
            <input type="submit" value="Ok" name="sub" />
    </form>
    </body>
    </html>
    

    0x03 代码解释:

    代码:  <?php ?>  开始和结束 没一门编程语言都有       
    代码:   header("Content-Type:text/html;charset=utf-8");  将页面的编码设置为UTF-8
    代码:  

    if(isset($_POST['sub'])){ 
                         $username = $_POST['username'];
                         $password = $_POST['password'];

    解释:

    代码:
    没错 又到了这里 看过我的细说SQL注入的就知道 我解释过一遍了 没看过那篇帖子的也没事哈 我再解释一遍。

    $conn = mysql_connect("localhost","root","root");    //连接数据库  mysql_connect("HOST你的网站","你数据库账号","你数据库密码"); 赋值给$conn变量 
     
    $db=mysql_select_db("test");     //mysql_select_db("test");  mysql_select_db()函数是设置数据库, 第一个参数是你数据库名 注意: 是数据库名 不是表名!   
     
     
    $query = mysql_query("SET NAMES 'gbk'");  //mysql_query()函数是执行一条sql语句 他这里是设置数据库字符编码为gbk
     
     
    $sql="INSERT INTO `adminsql` (`id` ,`username` ,`password`)VALUES (13 , '$username' , '$password')";  //SQL语句 INSERT INTO(插入)  INSERT INTO 后       面的反引号是你的数据表名 就是数据库test下的表

    再后面的括号(`id`,`username`,`password`); 这里是数据表里面的值 我有三个字段表  分别是id、usernam、 password这三个  
    后面的VALUES (13 , '$username' , '$password')";  //第一个参数是id 我没设置那个自增长ID(详情:http://jingyan.baidu.com/article/fcb5aff7b3a025edaa4a7130.html)   
    在后面的就懂了吧 就是我前面吧HTML表单的值赋值给那个变量:

    $username =      $_POST['username'];
          $password = $_POST['password'];

    懂我意思了吧 嘻嘻  就是啊 你单击提交的数据 会插入到数据库的深处

    代码:

    $sql="SELECT * FROM adminsql";   //SELECT(查询) from要查询的表 adminsql
            if($row=mysql_query($sql)){  //判断sql语句是否执行了
                    while($rows = mysql_fetch_array($row)){   //执行就把数据库里面的数据表里面的所有字段表用while循环取出来
                    echo "user:{$rows['username']}-----pass:{$rows['password']}"."<br/>";  //echo 输出到页面上  前面的mysql_fetch_array()函数是一行一行获取         值  他吧值赋给了$rows变量 这个函数获取到的值全是array数组 所以要 $rows['username']; 这样取值 输出  
            }

    我把数据库发给你们吧

    [table=98%,none]
    [tr=none ][td][align=right][align=right][size=1em]1[/align]
    [align=right][size=1em]2[/align]
    [align=right][size=1em]3[/align]
    [align=right][size=1em]4[/align]
    [align=right][size=1em]5[/align]
    [align=right][size=1em]6[/align]
    [align=right][size=1em]7[/align]
    [align=right][size=1em]8[/align]
    [align=right][size=1em]9[/align]
    [align=right][size=1em]10[/align]
    [align=right][size=1em]11[/align]
    [align=right][size=1em]12[/align]
    [align=right][size=1em]13[/align]
    [align=right][size=1em]14[/align]
    [align=right][size=1em]15[/align]
    [align=right][size=1em]16[/align]
    [align=right][size=1em]17[/align]
    [align=right][size=1em]18[/align]
    [align=right][size=1em]19[/align]
    [align=right][size=1em]20[/align]
    [align=right][size=1em]21[/align]
    [align=right][size=1em]22[/align]
    [align=right][size=1em]23[/align]
    [align=right][size=1em]24[/align]
    [align=right][size=1em]25[/align]
    [align=right][size=1em]26[/align]
    [align=right][size=1em]27[/align]
    [align=right][size=1em]28[/align]
    [align=right][size=1em]29[/align]
    [align=right][size=1em]30[/align]
    [align=right][size=1em]31[/align]
    [align=right][size=1em]32[/align]
    [align=right][size=1em]33[/align]
    [align=right][size=1em]34[/align]
    [align=right][size=1em]35[/align]
    [align=right][size=1em]36[/align]
    [align=right][size=1em]37[/align]
    [align=right][size=1em]38[/align]
    [align=right][size=1em]39[/align]
    [align=right][size=1em]40[/align]
    [align=right][size=1em]41[/align]
    [align=right][size=1em]42[/align]
    [align=right][size=1em]43[/align]
    [align=right][size=1em]44[/align]
    [align=right][size=1em]45[/align]
    [align=right][size=1em]46[/align]
    [align=right][size=1em]47[/align]
    [align=right][size=1em]48[/align]
    [/align][/td][td][align=right][size=1em][size=1em]-- phpMyAdmin SQL Dump
    [size=1em]-- version phpStudy 2014
    [size=1em]-- [url]http://www.phpmyadmin.net[/url]
    [size=1em]--
    [size=1em]-- 主机: localhost
    [size=1em]-- 生成日期: 2017 年 06 月 23 日 21:14
    [size=1em]-- 服务器版本: 5.5.53
    [size=1em]-- PHP 版本: 5.3.29
     
    [size=1em]SET SQL_MODE="NO_AUTO_VALUE_ON_ZERO";
    [size=1em]SET time_zone = "+00:00";
     
     
    [size=1em]/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
    [size=1em]/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
    [size=1em]/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
    [size=1em]/*!40101 SET NAMES utf8 */;
     
    [size=1em]--
    [size=1em]-- 数据库: `test`
    [size=1em]--
     
    [size=1em]-- --------------------------------------------------------
     
    [size=1em]--
    [size=1em]-- 表的结构 `adminsql`
    [size=1em]--
     
    [size=1em]CREATE TABLE IF NOT EXISTS `adminsql` (
    [size=1em]  `id` int(11) NOT NULL,
    [size=1em]  `username` varchar(32) NOT NULL,
    [size=1em]  `password` varchar(32) NOT NULL
    [size=1em]) ENGINE=InnoDB DEFAULT CHARSET=utf8;
     
    [size=1em]--
    [size=1em]-- 转存表中的数据 `adminsql`
    [size=1em]--
     
    [size=1em]INSERT INTO `adminsql` (`id`, `username`, `password`) VALUES
    [size=1em](1, 'aaaa', ''),
    [size=1em](1, 'aaaa', ''),
    [size=1em](1, 'aaaa', 'xss'),
    [size=1em](1, 'aaaa', 'xss'),
    [size=1em](1, 'csrf', 'csrf');
     
    [size=1em]/*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */;
    [size=1em]/*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */;
    [size=1em]/*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */;
     
    [/align][/td][/tr]
    [/table]

    在mysql的SQL哪里 插入这些代码 然后执行即可

    0x04 正题:

    好了 有了环境 我们就更方便测试了 访问代码页:

    构建环境:

    ok,假设我现在是一枚网站管理员 现在localhost是我网站 localhost/php/xss/fanshexing.php 是我后台 现在我的同伴他说想帮我管理我的后台 我就把他创建了一个用户 用户名为(escape) 密码为(admin888)

    点击ok 提交数据

    escape是我同伴的号 不过在此之前有一个黑客发现我的后台没有用token令牌 存在csrf漏洞 于是他就构造了一个html的文件
    代码如下:

    <script>
    function s(){
            document.getElementById('fuck').submit();  //这里是javascript的代码(详情:[url]http://www.jquerycn.cn/a_10756[/url])
    }
    </script>
    <body onload=s()>
    <form action="http://localhost/php/xss/fanshexing.php" method="post" id="fuck">
        <input type='hidden' name="username" value="heike">
        <input type='hidden' name="password" value="888888">
        <input type='hidden' name="sub" value="123456">
    </form>
    </body>

    构建环境:

    攻击者视角:我现在的身份是一枚"非法用户" 我现在要去拿这个构造的页面发给笨蛋管理员,假设现在我发送QQ邮件给管理员发了个文件 就是我构造的页面 发给了他
    如果管理员打开了 就会自动提交

    <input type='hidden' name="username" value="heike">   用户
    <input type='hidden' name="password" value="888888">  密码

    OK  到了管理员视角:
    管理员:嘿 escape伙伴 快来瞧瞧 是一个html的文件 是一位叫构造者发给我们的 我们瞧瞧
    escape:OK瞧瞧看
    点击。。。

    当然 这些用户是我从数据库取出来的 在项目中可不会这样 所以说 笨蛋管理员还不知道 我已经在他的后台构造了一个我的用户

    0x05 如何构造一个添加管理员的页面?

    前面的构造页面太多的代码了 难道我需要全部背下来吗??当然不需要 下来我来教大家怎么构造一个CSRF的添加管理员页面
    1、打开burpsuite神器

    OK 打开后要代理服务端才能收到请求的数据

    2、代理服务器
    在burpsuite的主页面中的proxy里的Options


    我用的是2345浏览器在工具哪里可以设置代理服务器

    点击进入Internet后 点击连接

    局域网设置

    在我下面图画箭头的地方打钩,点击确定即可

    3、开始构造
    打开我们的管理员后台,查看后台现在有几个管理用户:

    环境构造:
    ok 现在我是一名"非法用户" 我发现了这个网站的后台登录地址 而且发现了木有存在token验证
    我首先打开了他们的管理员登录的人口地方

    user:test  pass:test   开启浏览器服务器代理

    开启burpsuite

    代理好了服务器 开启了burpsuite 就点击ok

    OK 接受到了 右击burpsuite界面  Engagement tooles 里面的 Generrate CSRFPoC

    可以看到 他已经自己给你构造了一个页面:

    复制代码 创建一个HTML文件

    如果想修改账号 就吧 <input type="hidden" name="username" value="test" />  value="账号在这里 可以随便修改其他的 这里我就修改为test1"
    OK了 Ctrl+s 就可以保存了
    查询一下 现在有用户:
    有三个用户 我们把这个文件发给管理员
    环境构造:我现在又是管理员了 我打开了这个文件 并且在我没有退出登录和销毁cookie的情况下 打开了这个文件

    点击提交,添加成功:

    根据以上流程 我写下了一个具体的流程图:

    到了这里 恐怕有很多人会问我 怎么去看这些漏洞是否存在?
    答:你要是单单只是看看漏洞是否存在 可以看cookie或者post包中有没有token这种东西 如果存在token那就不能利用了 token就是个验证的玩意 只有服务器和后台有 所以你burpsuite是搜不到的

    0x06 CSRF的检测以及防御

    CSRF出现的地方通常在权限控制的地方 如会员中心、后台管理、用户注册、发布帖子、用户后台处、交易管理处这几个地方
    防御就是开启token验证 token验证能干什么?你开启了token验证后 客服端请求的值必须和服务端的值相同 不能进行修改 这样你burpsuite就不能在改了 就彻底防御了这个漏洞

    也可以看看cookie或者post包中有没有token这种东西

    转自:https://bbs.ichunqiu.com/thread-24127-1-1.html?from=sec

  • 相关阅读:
    【NOIp模拟赛】种花
    【NOIP模拟赛】质数序列
    【NOIp模拟赛】兔子
    【NOIp模拟赛】圆桌游戏
    【NOIp模拟赛】花
    【洛谷P2345】奶牛集会
    【洛谷P1774】最接近神的人_NOI导刊2010提高(02)
    【洛谷P1495】 曹冲养猪
    【洛谷P1287】 盒子与球
    NOIP2009 Hankson 的趣味题
  • 原文地址:https://www.cnblogs.com/devi1/p/13486390.html
Copyright © 2020-2023  润新知