【CSRF技巧拓展】————1、用代码来细说Csrf漏洞危害以及防御

0x01 CSRF介绍:

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本XSS，但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

0x02 CSRF环境搭建:

环境搭建嘛,肯定要PHP的咯,不过别担心,这不有俺在嘛我给你尝尝代码的味道。
CSRF测试代码:

<?php
header("Content-Type:text/html;charset=utf-8");
if(isset($_POST['sub'])){$username = $_POST['username'];$password = $_POST['password'];$conn = mysql_connect("localhost","root","root");$db=mysql_select_db("test");$query = mysql_query("SET NAMES 'gbk'");$sql="INSERT INTO `adminsql` (`id` ,`username` ,`password`)VALUES (13 , '$username' , '$password')";$row=mysql_query($sql); //执行sql插入语句$sql="SELECT * FROM adminsql";if($row=mysql_query($sql)){while($rows = mysql_fetch_array($row)){echo "user:{$rows['username']}-----pass:{$rows['password']}"."<br/>";}}
}
?><!DOCTYPE html>
<html>
<head><title>CSRF利用场所</title>
</head>
<body>
<b><h2>CSRF测试环境</h2></b>
<form action="" method="post"><b>user:<input type="text" name="username" /></b><b>pass:<input type="password" name="password" /></b><input type="submit" value="Ok" name="sub" />
</form>
</body>
</html>

0x03 代码解释:

代码: <?php ?> 开始和结束没一门编程语言都有
代码: header("Content-Type:text/html;charset=utf-8"); 将页面的编码设置为UTF-8
代码:

if(isset($_POST['sub'])){ $username = $_POST['username'];$password = $_POST['password'];

解释:

代码:
没错又到了这里看过我的细说SQL注入的就知道我解释过一遍了没看过那篇帖子的也没事哈我再解释一遍。

$conn = mysql_connect("localhost","root","root");    //连接数据库  mysql_connect("HOST你的网站","你数据库账号","你数据库密码"); 赋值给$conn变量 $db=mysql_select_db("test");     //mysql_select_db("test");  mysql_select_db()函数是设置数据库, 第一个参数是你数据库名 注意: 是数据库名 不是表名！   $query = mysql_query("SET NAMES 'gbk'");  //mysql_query()函数是执行一条sql语句 他这里是设置数据库字符编码为gbk$sql="INSERT INTO `adminsql` (`id` ,`username` ,`password`)VALUES (13 , '$username' , '$password')";  //SQL语句 INSERT INTO(插入)  INSERT INTO 后       面的反引号是你的数据表名 就是数据库test下的表

再后面的括号(`id`,`username`,`password`); 这里是数据表里面的值我有三个字段表分别是id、usernam、 password这三个
后面的VALUES (13 , '$username' , '$password')"; //第一个参数是id 我没设置那个自增长ID(详情:http://jingyan.baidu.com/article/fcb5aff7b3a025edaa4a7130.html)
在后面的就懂了吧就是我前面吧HTML表单的值赋值给那个变量：

$username =      $_POST['username'];$password = $_POST['password'];

懂我意思了吧嘻嘻就是啊你单击提交的数据会插入到数据库的深处

代码：

$sql="SELECT * FROM adminsql";   //SELECT(查询) from要查询的表 adminsqlif($row=mysql_query($sql)){  //判断sql语句是否执行了while($rows = mysql_fetch_array($row)){   //执行就把数据库里面的数据表里面的所有字段表用while循环取出来echo "user:{$rows['username']}-----pass:{$rows['password']}"."<br/>";  //echo 输出到页面上  前面的mysql_fetch_array()函数是一行一行获取         值  他吧值赋给了$rows变量 这个函数获取到的值全是array数组 所以要 $rows['username']; 这样取值 输出  }

我把数据库发给你们吧

[table=98%,none]
[tr=none ][td][align=right][align=right][size=1em]1[/align]
[align=right][size=1em]2[/align]
[align=right][size=1em]3[/align]
[align=right][size=1em]4[/align]
[align=right][size=1em]5[/align]
[align=right][size=1em]6[/align]
[align=right][size=1em]7[/align]
[align=right][size=1em]8[/align]
[align=right][size=1em]9[/align]
[align=right][size=1em]10[/align]
[align=right][size=1em]11[/align]
[align=right][size=1em]12[/align]
[align=right][size=1em]13[/align]
[align=right][size=1em]14[/align]
[align=right][size=1em]15[/align]
[align=right][size=1em]16[/align]
[align=right][size=1em]17[/align]
[align=right][size=1em]18[/align]
[align=right][size=1em]19[/align]
[align=right][size=1em]20[/align]
[align=right][size=1em]21[/align]
[align=right][size=1em]22[/align]
[align=right][size=1em]23[/align]
[align=right][size=1em]24[/align]
[align=right][size=1em]25[/align]
[align=right][size=1em]26[/align]
[align=right][size=1em]27[/align]
[align=right][size=1em]28[/align]
[align=right][size=1em]29[/align]
[align=right][size=1em]30[/align]
[align=right][size=1em]31[/align]
[align=right][size=1em]32[/align]
[align=right][size=1em]33[/align]
[align=right][size=1em]34[/align]
[align=right][size=1em]35[/align]
[align=right][size=1em]36[/align]
[align=right][size=1em]37[/align]
[align=right][size=1em]38[/align]
[align=right][size=1em]39[/align]
[align=right][size=1em]40[/align]
[align=right][size=1em]41[/align]
[align=right][size=1em]42[/align]
[align=right][size=1em]43[/align]
[align=right][size=1em]44[/align]
[align=right][size=1em]45[/align]
[align=right][size=1em]46[/align]
[align=right][size=1em]47[/align]
[align=right][size=1em]48[/align]
[/align][/td][td][align=right][size=1em][size=1em]-- phpMyAdmin SQL Dump
[size=1em]-- version phpStudy 2014
[size=1em]-- [url]http://www.phpmyadmin.net[/url]
[size=1em]--
[size=1em]-- 主机: localhost
[size=1em]-- 生成日期: 2017 年 06 月 23 日 21:14
[size=1em]-- 服务器版本: 5.5.53
[size=1em]-- PHP 版本: 5.3.29[size=1em]SET SQL_MODE="NO_AUTO_VALUE_ON_ZERO";
[size=1em]SET time_zone = "+00:00";[size=1em]/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
[size=1em]/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
[size=1em]/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
[size=1em]/*!40101 SET NAMES utf8 */;[size=1em]--
[size=1em]-- 数据库: `test`
[size=1em]--[size=1em]-- --------------------------------------------------------[size=1em]--
[size=1em]-- 表的结构 `adminsql`
[size=1em]--[size=1em]CREATE TABLE IF NOT EXISTS `adminsql` (
[size=1em]  `id` int(11) NOT NULL,
[size=1em]  `username` varchar(32) NOT NULL,
[size=1em]  `password` varchar(32) NOT NULL
[size=1em]) ENGINE=InnoDB DEFAULT CHARSET=utf8;[size=1em]--
[size=1em]-- 转存表中的数据 `adminsql`
[size=1em]--[size=1em]INSERT INTO `adminsql` (`id`, `username`, `password`) VALUES
[size=1em](1, 'aaaa', ''),
[size=1em](1, 'aaaa', ''),
[size=1em](1, 'aaaa', 'xss'),
[size=1em](1, 'aaaa', 'xss'),
[size=1em](1, 'csrf', 'csrf');[size=1em]/*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */;
[size=1em]/*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */;
[size=1em]/*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */;[/align][/td][/tr]
[/table]

在mysql的SQL哪里插入这些代码然后执行即可

0x04 正题:

好了有了环境我们就更方便测试了访问代码页:

构建环境:

ok，假设我现在是一枚网站管理员现在localhost是我网站 localhost/php/xss/fanshexing.php 是我后台现在我的同伴他说想帮我管理我的后台我就把他创建了一个用户用户名为(escape) 密码为(admin888)

点击ok 提交数据

escape是我同伴的号不过在此之前有一个黑客发现我的后台没有用token令牌存在csrf漏洞于是他就构造了一个html的文件
代码如下:

<script>
function s(){document.getElementById('fuck').submit();  //这里是javascript的代码(详情：[url]http://www.jquerycn.cn/a_10756[/url])
}
</script>
<body onload=s()>
<form action="http://localhost/php/xss/fanshexing.php" method="post" id="fuck"><input type='hidden' name="username" value="heike"><input type='hidden' name="password" value="888888"><input type='hidden' name="sub" value="123456">
</form>
</body>

构建环境:

攻击者视角:我现在的身份是一枚"非法用户" 我现在要去拿这个构造的页面发给笨蛋管理员，假设现在我发送QQ邮件给管理员发了个文件就是我构造的页面发给了他
如果管理员打开了就会自动提交

<input type='hidden' name="username" value="heike"> 用户
<input type='hidden' name="password" value="888888"> 密码

OK 到了管理员视角:
管理员：嘿 escape伙伴快来瞧瞧是一个html的文件是一位叫构造者发给我们的我们瞧瞧
escape：OK瞧瞧看
点击。。。

当然这些用户是我从数据库取出来的在项目中可不会这样所以说笨蛋管理员还不知道我已经在他的后台构造了一个我的用户

0x05 如何构造一个添加管理员的页面？

前面的构造页面太多的代码了难道我需要全部背下来吗？？当然不需要下来我来教大家怎么构造一个CSRF的添加管理员页面
1、打开burpsuite神器

OK 打开后要代理服务端才能收到请求的数据

2、代理服务器
在burpsuite的主页面中的proxy里的Options

我用的是2345浏览器在工具哪里可以设置代理服务器

点击进入Internet后点击连接

局域网设置

在我下面图画箭头的地方打钩，点击确定即可

3、开始构造
打开我们的管理员后台，查看后台现在有几个管理用户：

环境构造：
ok 现在我是一名"非法用户" 我发现了这个网站的后台登录地址而且发现了木有存在token验证
我首先打开了他们的管理员登录的人口地方

user:test pass：test 开启浏览器服务器代理

开启burpsuite

代理好了服务器开启了burpsuite 就点击ok

OK 接受到了右击burpsuite界面 Engagement tooles 里面的 Generrate CSRFPoC

可以看到他已经自己给你构造了一个页面：

复制代码创建一个HTML文件

如果想修改账号就吧 <input type="hidden" name="username" value="test" /> value="账号在这里可以随便修改其他的这里我就修改为test1"
OK了 Ctrl+s 就可以保存了
查询一下现在有用户:
有三个用户我们把这个文件发给管理员
环境构造:我现在又是管理员了我打开了这个文件并且在我没有退出登录和销毁cookie的情况下打开了这个文件
件

点击提交，添加成功：

根据以上流程我写下了一个具体的流程图：

到了这里恐怕有很多人会问我怎么去看这些漏洞是否存在？
答:你要是单单只是看看漏洞是否存在可以看cookie或者post包中有没有token这种东西如果存在token那就不能利用了 token就是个验证的玩意只有服务器和后台有所以你burpsuite是搜不到的

0x06 CSRF的检测以及防御

CSRF出现的地方通常在权限控制的地方如会员中心、后台管理、用户注册、发布帖子、用户后台处、交易管理处这几个地方
防御就是开启token验证 token验证能干什么？你开启了token验证后客服端请求的值必须和服务端的值相同不能进行修改这样你burpsuite就不能在改了就彻底防御了这个漏洞

也可以看看cookie或者post包中有没有token这种东西

转自：https://bbs.ichunqiu.com/thread-24127-1-1.html?from=sec