CSRF靶场通关合集

目录

前言

CSRF漏洞总结

1.PiKachu靶场

1.1CSRF(get)

1.2 CSRF(post)请求

1.3 CSRF Token

2.DVWA靶场

难度低

难度中

难度高


前言

         最近系统的将从web渗透到内网渗透的知识点做一个回顾,同时结合一些实战的案例来演示,下面是对刚开始学习时对靶场的一个总结.

CSRF漏洞总结

                        下面是我对csrf漏洞的一个总结,需要的师傅可自行下载使用

1.PiKachu靶场

1.1CSRF(get)

        首先是一个登录框,这里我们不知道账号密码,所以点一下提示,发现有这些用户

vince/allen/kobe/grady/kevin/lucy/lili,密码全部是123456   随便登录一个,这时我们处于登录状态

        点击修改信息,这里我们把住址由china改为beijing,然后进行提交,发现成功,然后我们在历史包中发现,历史包中修改信息部分,没有做任何验证

这时,我们把修改信息的get请求复制下来

pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=18626545453&add=beijing&email=vince%40pikachu.com&submit=submit

然后进行修改

http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=18626545453&add=shanxi&email=vince%40pikachu.com&submit=submit

把伪造的页面链接发送给对方,这时要确保对方,还在登录中,或是cookie或session没有过期

<a href="http:/127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=18626545453&add=shanxi&email=vince%40pikachu.com&submit=submit 
">点击我</a>

这里我模拟点击链接

点击前页面:

点击后页面

        发现住址被成功的修改,当然为了看起来不明显,我们也可以对链接进行伪装

1.2 CSRF(post)请求

这关登录账号和密码和上关一致        allen 这里我登录这个账号

还是和上关一致 ,修改信息看看,把手机号进行了修改

在历史包中查看,发现也没有什么验证,但是因为是post请求,所以URL不再显示修改参数,所以无法再使用上述办法(即通过URL来伪造请求)进行修改,但是抓包可以知道本页面中有的标签以及name,方便后面构造表单时使用。

此时,我们可以通过构造恶意站点,将POST请求隐藏在站点中的表单中,然后诱骗用户进行点击,当用户点击后触发表单,数据自然就POST到存在CSRF漏洞的网站,用户的信息则被恶意修改。

这里我们使用burp的构造功能

        我们将电话进行修改为199999999,然后copy到制作的恶意网站中,然后我们模拟受害者点击,制作好的csrf恶意网址,然后进行点击 ,这里注意,注意点击制作好的恶意网站注意,需要在同一浏览器进行访问,这里我把他放在了小皮关卡的目录下,然后进行访问,点击按钮

http://127.0.0.1/pikachu/vul/csrf/csrfpost/csrf.html

点击前

点击后,我们进行提交,会弹出一个新界面,发现信息被修改了

1.3 CSRF Token

这关是防范CSRF的常用方法的一个演示。

token验证原理 CSRF的主要问题是敏感操作的链接容易被伪造 每次请求,都增加一个随机码(需要够随机,不容易伪造),后台每次对随机码进行验证

网页接受从后台发过来的token,类型不可见。将其一并提交给后台进行验证。每次刷新,后台发送过来的token都不一样,起到了防止伪造的作用。这里我们还是先修改信息,我将地址修改为陕西

然后我们查看历史包,发现请求中含有token

尝试将token删除也没有作用,使用自己的token也没办法,这关是对其csrf防范做了一个规范

2.DVWA靶场

难度低

进入后先看到是一个请求框

先输入一个修改密码123,发现密码在url处判断是get类型的,那么我们只需要将请求,将密码进行更改

http://127.0.0.1/dvwa/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#

然后将链接放入到html文件中进行伪装,让受害者进行访问存在危害的页面,访问就可以达到修改密码了

这里我就直接访问这个链接了,发现密吗被修改了,然后进行登录验证,发现登录成功

难度中

还是先修改一个密码,看看,输入123,发现修改成功,查看历史包

        发现还是get请求,但是这次,可以看到数据包中有 Referer 字段,记录了请求的来源地址,而如果用户点击了攻击者的恶意地址,所提交的数据包的 Referer 字段与正常修改密码的字段内容不一样,因此会被服务器拦截,导致修改密码失败

到这里没什么思路,先看看源码:

<?php
 
if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];
 
        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
            $pass_new = md5( $pass_new );
 
            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
 
            // Feedback for the user
            echo "<pre>Password Changed.</pre>";
        }
        else {
            // Issue with passwords matching
            echo "<pre>Passwords did not match.</pre>";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "<pre>That request didn't look correct.</pre>";
    }
 
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
 
?>

 stripos(a,b)返回 b 存在于 a,字符串开始的位置,字符串起始位置为0,如果未发现 b 则返回false。代码检查了保留变量HTTP_REFERER (http包头部的Referer字段的值,表示来源地址)是否包含SERVER_NAME(http包头部的 Host 字段表示要访问的主机名)。针对这一过滤规则,我们只要想办法绕过,那么我们后面的代码和low级别的基本都一样了,很容易实现CSRF攻击。所以我们可以通过更改页面文件名来绕过stripos函数。绕过方法:

这里我们只需要将文件名改为本地ip地址就可以了

然后进行登录验证

难度高

还是先把密码改为123,可以看到历史包中包含了一个token,需要在发送请求之前获取服务器返回的随机 token,服务器接收请求之前会先验证 token

bp 爆破

将这个数据包发送到 bp 爆破模块,将密码、新密码、token 对应字段打上标记,设置攻击类型为

Pitchfork,然后后续操作和进行暴力破解时几乎一致,除了在添加密码和新密码时需要将palyload多增加一个要替换的用来token过期时会过期,其余一致

发现第二个成功,进行登录测试发现成功

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/789197.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

羊大师:暑期不“胖”秘籍:羊奶滋养,细嚼慢咽是关键!

夏日炎炎&#xff0c;假期悠长&#xff0c;如何在享受悠闲时光的同时&#xff0c;保持轻盈体态&#xff0c;成了许多人心中的小秘密。今天&#xff0c;就让我们一起揭秘暑期不“胖”的秘籍&#xff0c;让羊奶的滋养与细嚼慢咽的智慧&#xff0c;成为你美丽夏日的守护神。 羊奶轻…

[Java]Swing版坦克大战小游戏项目开发(1)——new出一个窗口

highlight: xcode theme: vuepress 前言 本系列文章带领 Java 初学者学习使用 Java 语言结合 Swing 技术以及设计模式开发一款经典小游戏——坦克大战。通过这个小游戏&#xff0c;你可以学会很多实用的设计模式思想&#xff0c;并且提高你的编码水平。 熟悉Frame Frame 类是 J…

高昂定价,业绩增速踩下“急刹车”,圣贝拉IPO故事不好讲

近日&#xff0c;SAINT BELLA&#xff08;下称“圣贝拉”&#xff09;向港交所提交上市申请&#xff0c;瑞银集团、中信证券为其联席保荐人。 据招股书介绍&#xff0c;圣贝拉是一家家庭护理品牌集团&#xff0c;在产后护理及修复、家庭儿童护理、女性健康功能性食品方面开发产…

46、lvs集群- 博客

1、lvs集群&#xff1a; lvs&#xff1a;linux virtual server----章文嵩发起的开源项目&#xff0c;阿里。linux的内核层面实现负载均衡的软件。 主要作用&#xff1a;将多个后端服务器组成一个高可用&#xff0c;高性能的服务器集群&#xff0c;通过负载均衡的算法将客户端的…

AI究竟是在帮助开发者还是取代他们?来看大佬的观点你就明白了

AI&#xff08;人工智能&#xff09;在现代社会中扮演着越来越重要的角色&#xff0c;其在软件开发领域的应用也日益广泛。关于AI是在帮助开发者还是取代他们&#xff0c;V 哥个人认为&#xff0c;一半一半吧&#xff0c;为什么这么说&#xff0c;先不用噴&#xff0c;我们需要…

智驭未来:人工智能与目标检测的深度交融

在科技日新月异的今天&#xff0c;人工智能&#xff08;AI&#xff09;如同一股不可阻挡的浪潮&#xff0c;正以前所未有的速度重塑着我们的世界。在众多AI应用领域中&#xff0c;目标检测以其独特的魅力和广泛的应用前景&#xff0c;成为了连接现实与智能世界的桥梁。本文旨在…

WPF引入多个控件库使用

目的 设计开发时有的控件库的一部分符合我们想要的UI样式&#xff0c;另一部分来自另一个控件库&#xff0c;想把两种库的样式做一个整合在同一个控件资源上。单纯通过引用的方式会导致原有样式被覆盖。这里通过设置全局样式的方式来实现。 1.安装控件库nuget包&#xff1a;H…

Python 传递参数和返回值

Python是一种功能强大的编程语言&#xff0c;它以其简洁和易用性而广受欢迎。在Python编程中&#xff0c;参数传递和返回值是函数调用中两个非常重要的概念。理解这些概念对于编写高效且可维护的代码至关重要。 一、参数传递 在Python中&#xff0c;函数参数可以通过以下几种…

css文字自适应宽度动态出现省略号...

前言 在列表排行榜中通常会出现的一个需求&#xff1a;从左到右依次是名次、头像、昵称、徽标、分数。徽标可能会有多个或者没有徽标&#xff0c;徽标长度是动态的&#xff0c;昵称如果过长要随着有无徽标进行动态截断出现省略号。如下图布局所示&#xff08;花里胡哨的底色是…

Java版Flink使用指南——分流导出

大纲 新建工程编码Pom.xml自定义无界流分流 测试工程代码 在之前的案例中&#xff0c;我们一直使用的是单个Sink来做数据的输出。实际上&#xff0c;Flink是支持多个输出流的。本文我们就来讲解如何在Flink数据输出时做分流处理。 我们将基于《Java版Flink使用指南——自定义无…

人工智能(AI)在医疗行业的应用前景

人工智能&#xff08;AI&#xff09;在医疗行业的应用前景十分广阔&#xff0c;有望彻底改变医疗行业的各个方面。需要注意的是&#xff0c;AI在医疗领域的应用也存在一些潜在的风险和挑战&#xff0c;例如算法偏见、数据隐私和安全、伦理问题等。在开发和应用AI医疗产品时&…

苹果手机短信功能停用怎么恢复?一分钟快速解决!

在使用苹果手机的过程中&#xff0c;可能会遇到短信功能突然停用的情况&#xff0c;这可能导致你无法发送或接收短信&#xff0c;影响日常通讯。这个问题可能由多种原因引起&#xff0c;如网络设置、软件冲突或运营商问题。 短信功能停用怎么恢复&#xff1f;不必担心&#xf…

【Superset】dashboard 自定义URL

URL设置 在发布仪表盘&#xff08;dashboard&#xff09;后&#xff0c;可以通过修改看板属性中的SLUG等&#xff0c;生成url 举例&#xff1a; http://localhost:8090/superset/dashboard/test/ 参数设置 以下 URL 参数可用于修改仪表板的呈现方式&#xff1a;此处参考了官…

django农产品销售系统-计算机毕业设计源码65418

基于HTML5的农产品销售系统的设计与实现 摘 要 本文针对农产品销售系统存在的传统销售方式效率低下、信息交流困难等问题&#xff0c;基于HTML5进行了系统的设计与实现。首先&#xff0c;通过对当前农产品销售系统的现状和问题进行分析&#xff0c;提出了基于HTML5的系统设计方…

蓝牙人员定位精准吗?是否会对人体有伤害?

不知道大家现在使用的蓝牙人员定位系统都是什么样的呢&#xff1f;其实就出行而言&#xff0c;使用GPS定位也就是足够了的&#xff0c;而且目前的定位相对也比较精准了&#xff0c;效果还是很不错的。但是如果说是室内定位&#xff0c;很显然常规的定位系统是无法满足使用需求的…

C语言 结构体和共用体——结构体类型与结构体变量

目录 问题的提出 数组的解决方法 我们希望的内存分配图 如何声明一个结构体类型&#xff1f; 如何定义一个结构体变量&#xff1f; 用typedef给数据类型定义一个别名 如何定义一个结构体变量&#xff1f; 结构体变量的初始化 问题的提出 数组的解决方法 我们希望的内存…

PostgREST API 安装及基础使用

PostgREST是一个独立的Web服务器&#xff0c;它将PostgreSQL数据库转换为RESTful API。它提供基于基础数据库的结构自定义的API。 PostgREST安装 首先访问Releases PostgREST/postgrest (github.com)&#xff0c;根据安装平台选择下载的源码。比如我现在的设备是Mac但是我的…

man手册的安装和使用

man手册 - HQ 文章目录 man手册 - HQ[toc]man手册的使用Linux man中文手册安装man中文手册通过安装包安装通过apt安装 配置man中文手册README使用说明配置步骤 man手册的使用 首先man分为八个目录&#xff0c;每个目录用一个数字表示 1.可执行程序2.系统调用3.库函数4.特殊文…

身份证二要素API,实名认证领域的创新之选

身份证二要素API&#xff0c;是一种实名认证领域的创新解决方案。通过输入姓名和身份证号&#xff0c;该API可以通过官方权威渠道进行核查&#xff0c;实时校验二要素的一致性&#xff0c;并返回生日、性别、籍贯等详细信息。这篇博文将详细介绍身份证二要素API的使用方法&…

c语言数据结构--链表

实验内容&#xff1a; 编程实现链表下教材第二章定义的线性表的基本操作&#xff0c;最好用菜单形式对应各个操作&#xff0c;使其编程一个完整的小软件。 实验步骤&#xff1a; 1.按照实验要求编写代码&#xff0c;构造链表&#xff0c;初始化链表 2.再插入元素1 2 3 3.分别…