dvwa3——CSRF

LOW：

先尝试change一组密码：123456

修改成功，我们观察上面的url代码

http://localhost/DVWA/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#

将password_new部分与password_conf部分改成我们想要的密码：4321

http://localhost/DVWA/vulnerabilities/csrf/?password_new=4321&password_conf=4321&Change=Change#

新建一个页面打开，发现密码修改成功

 MEDIUM：

尝试同样的方法发现请求失败

并且上方跳出来这个 ，第一行说请求头缺失，请求头记录着

查看这一关的源码并与low的做对比 ，多出来的这个if判断条件应该是判断当前的访问请求是否更换页面了，如果不是，就不执行请求

用bp抓包原来的请求，可以注意到这里有一个referer

***Referer***:

是http请求头中的一个字段，作用是指示当前请求的网页的来源，也就是说， referer后面的内容会告诉服务器这个请求来自于哪个页面或者url

在url里面像low一样修改成我们想要的密码，新起一个页面，bp抓包，抓到这些

send to repeater，添加如下代码

Referer:localhost

render！修改成功！！！

HIGH：

我们刚才改的密码是1111，这一级我们要把它改成0000

先提交一个新密码hhhh，并且bp抓包，抓到这些，发现这一关有了token验证

send to intreuder，和第一关一样，先clear，再把三个参数add进去，攻击方式选择Pithchfork

然后去Payloads，在payloas setting里add进我们要修改的密码，防止token失效，我们多加几组

然后和第一关一样，递归找token，先在资源池resoource pool里设置单线程

 settings里（有的版本的dp是options）

回payloads，加上

Start attack！！！！！！！！！！

关闭bp，去第一关，输入用户名和密码

登陆成功！！！！！！！！！

IMPOSSIBLE：

 我们观察一下源码

CSRF Source
vulnerabilities/csrf/source/impossible.php<?phpif( isset( $_GET[ 'Change' ] ) ) {// Check Anti-CSRF tokencheckToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );// Get input$pass_curr = $_GET[ 'password_current' ];$pass_new  = $_GET[ 'password_new' ];$pass_conf = $_GET[ 'password_conf' ];// Sanitise current password input$pass_curr = stripslashes( $pass_curr );$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));$pass_curr = md5( $pass_curr );// Check that the current password is correct$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );$data->execute();// Do both new passwords match and does the current password match the user?if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {// It does!$pass_new = stripslashes( $pass_new );$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));$pass_new = md5( $pass_new );// Update database with new password$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );$data->execute();// Feedback for the userecho "<pre>Password Changed.</pre>";}else {// Issue with passwords matchingecho "<pre>Passwords did not match or current password incorrect.</pre>";}
}// Generate Anti-CSRF token
generateSessionToken();?>

优化地方：

1. 使用了pdo预处理：我的理解是提前规划好了传递数据的模板，只从用户的输入中提取数据，而其输入不能当成代码处理，比如 'or '1'=1，只能被当初密码
2. checktoken
3. mysqli_real_escape_string 转义
4. 原密码验证，攻击者很难知道
5. MD5加密，好像需要彩虹表解密，还不了解

综上，无法突破

❀❀❀ 完结撒花！！❀❀❀