乐趣区

关于csrf:sqlmap绕过CSRF检测进行注入-CanMeng

最近在筹备较量,打 sqlilabs 时看了一下 sqlmap 的 wiki,发现了–csrf-token 和–csrf-url 的参数,于是写了个 php 版本的 bug 试了一试。
同时也理解了一下大家对 csrf 注入的广泛做法:sqlmap+burp 正则匹配,两相比拟,还是 sqlmap 自带的性能比拟不便。


写一个 bug

CSRF 的广泛进攻办法是减少 anti-csrf token,也就是一串不可预测的字符串。于是入手写了一个 php 版本防 csrf 的 sqli 脚本,这里写的并不标准,工夫戳是能够被预测的,而且此脚本能够被绕过 token 检测,有趣味能够推敲一下。

<?php
    session_start();
    // 生成随机 token
    $token = md5(time());
    // 获取 name 参数
    $name = isset($_GET['name']) ? $_GET['name']: '';

    // 校验 token
    if ($_GET['token'] == $_SESSION['token']) {
        // 执行 sql 语句
        $mysqli = new mysqli("127.0.0.1","root","root");
        $mysqli->select_db("test");
        if (!$mysqli->connect_error) {
            $query = "select * from admin where username ='$name'";
            $result = $mysqli->query($query);
            if (!$mysqli->error) {while ($row = $result->fetch_row()) {echo $row;}
            } else {echo $mysqli->error;}
        } else {echo $mysqli->connect_error;}
        $mysqli->close();} else {echo "no token";}

    // 以 hidden 表单元素的模式输入 token
    echo "<input type="hidden"name="token"value="$token">";
    // 刷新 SESSION 中 token
    $_SESSION['token'] = $token;

?>

破绽利用

sqlmap 中有这样两个参数

  • –csrf-token=”token_name”,指定随机化 token 的参数名
  • –csrf-url=”http://x.x.x.x/page”,指定获取 token 值的地址

如果没有指定–csrf-url,则默认从以后页面获取 token。先来看看不指定 token 时,sqlmap 的输入:

sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session

sqlmap 依据关键字,辨认出了 token 参数,然而默认不获取 token,没有发现注入点。

再来看看指定 token 时的输入:

sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session --csrf-token="token"

确认了注入的存在,并且在 wireshark 中察看到 token 被 sqlmap 自动更新

在这个 demo 中,获取 token 的页面和注入点雷同,在实在场景中,可能须要独自获取 token 值,这时要用到–csrf-url=<url> 的参数。

所以应用以下命令,成果也是一样的:

sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session --cs
退出移动版