DVWA

DVWA => 备份地址

CSRF(跨站请求伪造)

跨站请求伪造(Cross-site request forgery),也被称作one-click attack。

用来挟持用户在当前已登录的Web应用程序上执行非本意的操作。

CSRF访问原理:

Low

• 手工测试

  直接在已经登录成功，身份认证未失效的浏览器上访问以下url即可更改当前用户的密码。

  1	http://train.com/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change#

• 源码分析

  • 直接从request中获取参数

    1 2 3

    // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ];

  • 新密码与确认密码相同即更新数据库

    使用mysqli_real_escape_string函数转义特殊字符，防止sql注入。 然后将密码使用md5加密后入库。

    1 2 3

    # 转义特殊字符 $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new );

Medium

• 手工测试

  与Low级别相同。

  不同的是构造的http请求需要包含Referer字段,用来验证url来源。

  1	Referer: http://train.com/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change

• 源码分析

  • 判断请求来源页面是否为本系统页面。

    1 2 3 4

    // Checks to see where the request came from if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) { //... }

    其它与Low级别相同。

High

• 手工测试

  与Medium级别相同。

  不同的是构造的http请求需要包含页面上隐藏的token参数。(与XSS配合)

  1	http://train.com/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change&user_token=253d1f2fad7d8c82627b1c356102ad4b#

• 源码分析

  • 使用token验证身份

    1 2	// Check Anti-CSRF token checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    其它与Low级别相同。

  • 最后重新生成token

    1 2	// Generate Anti-CSRF token generateSessionToken();

Impossible

• 源码分析

  • 使用token验证身份

    与High级别相同。

  • 验证当前用户存在

    验证当前用户当前密码是否正确。

    1 2 3 4 5

    // Check that the current password is correct $data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' ); $data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR ); $data->bindParam( ':password', $pass_curr, PDO::PARAM_STR ); $data->execute();

    其它与High相同。

DVWA

DVWA => 备份地址

Command Injection(命令注入)

Low

• 手动注入

  在命令参数尾部手动拼接&,&&,|,||,;等,与其它命令。

  • 命令连接符

    1. &

       使得命令在后台运行。

       1 2	# 在后台更新软件包索引 apt update &

    2. ;

       按顺序执行分隔的每条命令。

       1 2	# 先更新索引 再更新软件包 apt update ; apt upgrade

    3. &&

       短路与
       前一条命令执行成功时，执行后一条命令;
       前一条命令执行失败，不会执行后一条命令。

       1 2	# 更新软件包索引，成功后更新软件包 apt update && apt upgrade

    4. ||

       短路或
       前一条命令执行失败时，执行后一条命令;
       前一条命令执行成功，不会执行后一条命令。

       1 2	# 更新软件包索引失败时，打印信息 apt update || echo "update failure"

    5. !

       排除命令执行对象。

       1 2	# 删除当前目录下，除html文件的所有文件 rm -r !(*.html)

    6. && 和 ||

       &&和||搭配可以形成if-else选择分支。

       1 2	# 先更新软件包索引，成功就更新软件包，失败就打印信息 apt update && apt upgrade || echo "update failure"

    7. |

       管道运算符，前一条命令的输出作为后一条命令的输入。

       1 2	# 列出当前文件夹下所有文件，并筛选文件名包含`example`的内容打印 ls | grep example

    8. {}

       合并多条命令，使得分隔在一起的命令中，后面的命令依赖于前面的命令。

       1 2	# ping web服务器，连接不上，就重启网络服务并打印信息 ping www.example.com || {service networking restart ; echo "start networking ..."}

    9. ()

       给命令分组,用以改变优先级。

       1 2	# 倘若`echo "1"`执行失败，`echo "3" && echo "4"`依然会执行 (echo "1" && echo "2") || (echo "3" && echo "4")

    10. \

        用以将长命令换行。

        1 2 3

        # 打印"hello world" echo "hello \ world"

    Windows下命令连接符不同意义:

    1. &&

       短路与
       前一条命令执行成功时，执行后一条命令;
       前一条命令执行失败，不会执行后一条命令。

    2. &

       真与
       无论情况如何，被分隔的命令都会执行。

    3. ||

       短路或
       前一条命令执行失败时，执行后一条命令;
       前一条命令执行成功，不会执行后一条命令。

    4. |

       真或
       无论情况如何，被分隔的命令都会被执行。

    5. ;

       Windows 不支持 ;分隔符。

• 源码分析

  • 直接从request中获取参数

    1 2	// Get input $target = $_REQUEST[ 'ip' ];

  • 直接将参数以字符串的方式拼接入command中

    使用shell_exec函数调用函数。

    1 2	// *nix $cmd = shell_exec( 'ping -c 4 ' . $target );

Medium

• 手动注入

  不使用黑名单字符，使用其它命令连接符。

• 源码分析

  • 直接从request中获取参数

    与Low级别相同。

  • 设置 黑名单

    1 2 3 4 5

    // Set blacklist $substitutions = array( '&&' => '', ';' => '', );

  • 过滤黑名单字符

    使用str_replace函数过滤字符。

    1 2	// Remove any of the charactars in the array (blacklist). $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

  • 将过滤后的命令以字符串的方式拼接入command中

    1 2	// *nix $cmd = shell_exec( 'ping -c 4 ' . $target );

High

• 手动注入

  使用|进行注入，注意|后不跟随空格。

• 源码分析

  • 直接从request中获取参数，过滤首尾空白字符

    1 2	// Get input $target = trim($_REQUEST[ 'ip' ]);

  • 设置黑名单

    此黑名单 不完善 。

    1 2 3 4 5 6 7 8 9 10 11 12 13

    // 注意'| '，有 `空格`,因此不完善 // Set blacklist $substitutions = array( '&' => '', ';' => '', '| ' => '', '-' => '', '$' => '', '(' => '', ')' => '', '`' => '', '||' => '', );

  • 过滤黑名单字符

    与Medium相同。

  • 将过滤后的命令以字符串的方式拼接入command中

    与Medium相同。

Impossible

针对命令注入:

1. 首先在获取参数时使用stripslashes函数去除参数中的反斜杠(\)

2. 其次针对特定命令参数分解判断

   ping ip.ip.ip.ip中针对ip地址，分别判断。

   1 2 3 4 5 6 7

   // Split the IP into 4 octects $octet = explode( ".", $target ); // Check IF each octet is an integer if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) { // ... }