CSRF-黑盒测试 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

漏洞

CSRF-黑盒测试

新之助 2023-04-03 09:51:38 208115

所属地云南省

本文由新之助创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

首先我们先来了解一下CSRF攻击条件：

攻击条件：

1.用户处于登录状态

2.伪造的链接与正常应用请求的链接一致

3.后台未对用户业务开展合法性做校验

只有三个要素同时存在，则漏洞方可利用成功，尤其需要注意的是，用户必须在登录状态时点击伪造的页面

Low级别：

1.来到CSRF模块,输入两次密码123可以看见修改成功

1680483917_642a264d4e0ec01dcc836.png!small?1680483919725

2.接着我们点击Test Credentials模块，来测试一下是否修改成功,可以看到登录成功了

1680483966_642a267e5740411fa24fb.png!small?1680483968471

此时我们就拿到了一个修改密码的请求，

http://192.168.163.214/security/DVWA/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#

3.下面我将进一步演示CSRF的效果

本机地址为: 192.168.163.214

我们先登录到这个站点上,此时账户为admin，密码为123

可以看到此时我们还是登陆状态的

1680484330_642a27ea206c685976a6e.png!small?1680484332470

4.接着我们将拿到的URL构造一个恶意站点

恶意站点的URL为: http://192.168.107.128/csrf/a.php

使用a标签对192.168.163.214的站点发起修改密码的请求，并将密码修改为admin

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <style>
    body{
      background: url('1.jpg');
    }
  </style>
</head>
<body>
<a href="http://192.168.163.214/security/DVWA/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#">看美女</a>
</body>
</html>

9.接着我们在未退出账户的情况下去访问这个恶意站点，此时看见可以看美女

1680485468_642a2c5c826627412c044.png!small?1680485470790

10.当我们点击看美女后，发现页面跳到了dvwa修改密码的地方，并且提示密码修改成功

1680485503_642a2c7fd0076b8183764.png!small?1680485506217

11.接着我们输入账户密码测试发现原先的账户admin和密码123已经无法登陆了

1680485525_642a2c95e07b7f1d464dd.png!small?1680485528027

12.而我们测试攻击者修改的账户admin和密码admin时登陆成功

1680485553_642a2cb1c89f55a75f890.png!small?1680485555902

Medium级别：

1.还是一样的先修改密码，接着拿到了修改密码的链接：

http://192.168.227.214/security/DVWA/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#

1680485713_642a2d510b7c2c1f4d530.png!small?1680485715233

2.我们在http://192.168.107.138/csrf/bocai.php下构造了一个恶意网站在我们点击时会发起上面修改密码的请求

1680485766_642a2d860a792c32f8708.png!small?1680485768359

当我们点击"看美女"时，此时恶意站点对我们登陆的网站发起了修改密码的请求，请求的URL为：

http://192.168.227.214/security/DVWA/vulnerabilities/csrf/?password_new=1024&password_conf=1024&Change=Change#

可以看到此时提示该请求不正确，猜测可能做了什么验证

1680485852_642a2ddc6cf3541199cf3.png!small?1680485854632

3.此时我们再次点击"看美女"然后通过BurpSuite截包看看是什么情况

可以看到，在跨域发送请求时做了一个Referer值的验证请,求主机位192.168.227.214而Referer值为http://192.168.107.138

Referer代表请求的来源

1680485925_642a2e25a9deb14b345ea.png!small?1680485928080

4.接着我们尝试修改Referer值和请求主机为统一域，修改完后放包

1680485952_642a2e408b851d6c84cb7.png!small?1680485954890

5.可以看到此时就修改成功了

1680485974_642a2e5621de6bc2bbca2.png!small?1680485976385

High级别：

1.我们还是先修改一下密码，修改为123

修改成功后我们可以在URL中看到此时的GET参数多了一个请求为user_token

URL为：

http://192.168.227.214/security/DVWA/vulnerabilities/csrf/?password_new=123&password_conf=123
&Change=Change&user_token=ead587d27cc33bb646eb702ef14fae9e#

1680486072_642a2eb8ccfe955951e5f.png!small?1680486075021

2.此时就需要我们利用某中方法获取到它的Token值，刚好在Bp当中有一款插件CSRF Token Tracker可以自动抓取页面中的Token值，打开Bp来到Extensions模块下的BApp Store选项卡，找到该差距后在右边框中安装即可，安装成功后会像我这样打一个√

1680486156_642a2f0c922f723812bf4.png!small

3.安装好后，我们来到CSRF Token Tracker模块，添加目标站点，以及产生token的参数名

1680486200_642a2f38b50f17fd4968a.png!small?1680486202951

设置好Token工具后，我们先开启Bp的拦截，在新标签页中直接访问刚才拿到的URL

http://192.168.227.214/security/DVWA/vulnerabilities/csrf/?password_new=123&password_conf=123
&Change=Change&user_token=ead587d27cc33bb646eb702ef14fae9e#

将带有token的数据包发送到Repeater模块

1680486272_642a2f800e2ef9dc58942.png!small?1680486274447