最近在筹备较量,打 sqlilabs 时看了一下 sqlmap 的 wiki,发现了–csrf-token 和–csrf-url 的参数,于是写了个 php 版本的 bug 试了一试。
同时也理解了一下大家对 csrf 注入的广泛做法:sqlmap+burp 正则匹配,两相比拟,还是 sqlmap 自带的性能比拟不便。
写一个 bug
CSRF 的广泛进攻办法是减少 anti-csrf token,也就是一串不可预测的字符串。于是入手写了一个 php 版本防 csrf 的 sqli 脚本,这里写的并不标准,工夫戳是能够被预测的,而且此脚本能够被绕过 token 检测,有趣味能够推敲一下。
<?php
session_start();
// 生成随机 token
$token = md5(time());
// 获取 name 参数
$name = isset($_GET['name']) ? $_GET['name']: '';
// 校验 token
if ($_GET['token'] == $_SESSION['token']) {
// 执行 sql 语句
$mysqli = new mysqli("127.0.0.1","root","root");
$mysqli->select_db("test");
if (!$mysqli->connect_error) {
$query = "select * from admin where username ='$name'";
$result = $mysqli->query($query);
if (!$mysqli->error) {while ($row = $result->fetch_row()) {echo $row;}
} else {echo $mysqli->error;}
} else {echo $mysqli->connect_error;}
$mysqli->close();} else {echo "no token";}
// 以 hidden 表单元素的模式输入 token
echo "<input type="hidden"name="token"value="$token">";
// 刷新 SESSION 中 token
$_SESSION['token'] = $token;
?>
破绽利用
sqlmap 中有这样两个参数
- –csrf-token=”token_name”,指定随机化 token 的参数名
- –csrf-url=”http://x.x.x.x/page”,指定获取 token 值的地址
如果没有指定–csrf-url,则默认从以后页面获取 token。先来看看不指定 token 时,sqlmap 的输入:
sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session
sqlmap 依据关键字,辨认出了 token 参数,然而默认不获取 token,没有发现注入点。
再来看看指定 token 时的输入:
sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session --csrf-token="token"
确认了注入的存在,并且在 wireshark 中察看到 token 被 sqlmap 自动更新
在这个 demo 中,获取 token 的页面和注入点雷同,在实在场景中,可能须要独自获取 token 值,这时要用到–csrf-url=<url> 的参数。
所以应用以下命令,成果也是一样的:
sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session --cs