脱库及密码修改
CSRF 快速拖库案例
拖库’本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。
网站数据库被拖,直接导致用户信息泄露,造成的危害很大,比如:CSDN 明文密码泄露事件、小米 800W 用户信息泄露事件等等
首先,我们先登录一下 discuz 的后台,模拟管理员进行周期性的数据库备份。(admin) Ucenter
数据备份,提交
找到备份完的数据库备份
也就是在 http://127.0.0.1/upload/uc_server/data/backup/backup_150204_hsEI77/这个目录下 150204_5CcUZd-1.sql 文件。 然后,我们将数据库备份删除掉。现在,backup这个目录下没有任何备份。
下面我们用普通用户身份登录 发一个可以欺骗管理员到的贴子
在帖子里 添加一个网络图片
http://192.168.1.55:8080/dzcsrt/uc_server/admin.php?m=db&a=operate&t=export&app id=0&backupdir=xxxx%26backupfilename%3Daaaa
网页加载图片的 URL就是管理员在数据备份时所访问的 URL 用管理员账号登录查看消息(在管理模式下) 他的数据库就被备份了
攻击者直接在默认路径下载备份好的数据库就可以了
总结分析
打开 chrome 浏览器,然后按一下键盘上的 F12,然后访问那张图片的链接,接着点击
network 这个按钮,然后我们可以找到这张图片 9 的请求
1、网页加载图片的 URL,前面已经说过,就是管理员在数据备份时所访问的 URL,由于不是
正常的图片格式,所以不能正常解析。
2、虽然图片不能正常解析,但是浏览器还是回去访问一下这个 URL,由于当前账户是管理
员,有数据库备份的操作权限,且数据在传输到服务端,服务端根据请求的 URL、参数、动
作进行了处理,从而造成了数据库被拖。
3、很明显,攻击者在我们不知情的情况下盗用了我们的身份,来完成他们想要做的事情。
CSRF 修改密码案例
安全等级低
访问 DVWA (安全等级低)如下地址就可以直接修改密码
通过以上链接地址在不关闭此浏览器选项卡的情况下,打开新窗口页面(保持 cookie 可用),就可以完成密码修改。http://192.168.1.55:8080/dvwa/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change
可以结合XSS
或者欺骗管理员点开或者下载
总之就是要让管理员在管理状态下打开,就把密码修改成了123
安全等级为中
要求判断请求来源
也就是$_SERVER[‘HTTP_REFERER’] ,eregi 是判断是否存在某字符的函数如果存在 127.0.0.1,则通过
绕过
接用 burp 抓包把http://127.168.1.55:8080/dvwa/vulnerabilities/csrf/加入到 referer
里面,点击转发数据包,发现密码修改成功
也就是说,在构造攻击代码的时候,要将攻击代码修改成refer为站点refer的,之后再结合其他手法进行嵌入
DVWA 是如何防范
CSRF 直接判断旧密码是否正确了,这样在不知用户原有密码的情况下,不管是否存在 CSRF, 你都是无效的。