最近在筹备较量,打sqlilabs时看了一下sqlmap的wiki,发现了–csrf-token和–csrf-url的参数,于是写了个php版本的bug试了一试。
同时也理解了一下大家对csrf注入的广泛做法:sqlmap+burp正则匹配,两相比拟,还是sqlmap自带的性能比拟不便。

写一个bug

CSRF的广泛进攻办法是减少anti-csrf token,也就是一串不可预测的字符串。于是入手写了一个php版本防csrf的sqli脚本,这里写的并不标准,工夫戳是能够被预测的,而且此脚本能够被绕过token检测,有趣味能够推敲一下。

<?php    session_start();    //生成随机token    $token = md5(time());    //获取name参数    $name = isset($_GET['name']) ? $_GET['name']: '';    //校验token    if ($_GET['token'] == $_SESSION['token']) {        //执行sql语句        $mysqli = new mysqli("127.0.0.1","root","root");        $mysqli->select_db("test");        if (!$mysqli->connect_error) {            $query = "select * from admin where username = '$name'";            $result = $mysqli->query($query);            if (!$mysqli->error) {                while ($row = $result->fetch_row()) {                    echo $row;                }            } else {                echo $mysqli->error;            }        } else {            echo $mysqli->connect_error;        }        $mysqli->close();    } else {        echo "no token";    }    //以hidden表单元素的模式输入token    echo "<input type="hidden" name="token" value="$token">";    //刷新SESSION中token    $_SESSION['token'] = $token;?>

破绽利用

sqlmap 中有这样两个参数

  • –csrf-token=”token_name”,指定随机化token的参数名
  • –csrf-url=”http://x.x.x.x/page”,指定获取token值的地址

如果没有指定–csrf-url,则默认从以后页面获取token。先来看看不指定token时,sqlmap的输入:

sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session

sqlmap依据关键字,辨认出了token参数,然而默认不获取token,没有发现注入点。

再来看看指定token时的输入:

sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session --csrf-token="token"

确认了注入的存在,并且在wireshark中察看到token被sqlmap自动更新

在这个demo中,获取token的页面和注入点雷同,在实在场景中,可能须要独自获取token值,这时要用到–csrf-url=<url>的参数。

所以应用以下命令,成果也是一样的:

sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session --cs