靶機(jī)跨站請求偽造漏洞與審計項(xiàng)目6Web安全漏洞及代碼審計（第2版）（微課版）01項(xiàng)目知識準(zhǔn)備項(xiàng)目知識準(zhǔn)備01跨站請求偽造也被稱為XSRF。應(yīng)該都知道，攻擊的過程中常常會伴隨著各種各樣的請求，而漏洞往往是由各種請求偽造的。從CSRF漏洞的名稱中，可以看出CSRF漏洞的兩個關(guān)鍵點(diǎn)：一個是“跨站”；另一個是“請求偽造”。前者說明了CSRF攻擊時所發(fā)送的請求的來源，后者說明了請求的產(chǎn)生方式。漏洞介紹一偽造是指該請求并不是由用戶主動發(fā)送的，而是在攻擊者構(gòu)造出請求鏈接后，由用戶被動發(fā)送的。項(xiàng)目知識準(zhǔn)備01CSRF漏洞主要出現(xiàn)在管理后臺、會員中心、論壇帖子等場景中，其中管理后臺是高度危險的地方，但是CSRF漏洞很少被關(guān)注到，應(yīng)當(dāng)重點(diǎn)審計被引用的核心文件、相關(guān)功能點(diǎn)的代碼中有沒有驗(yàn)證token和Referer。審計思路三如果攻擊者構(gòu)造惡意請求并將其發(fā)送給用戶，則當(dāng)用戶訪問該鏈接后，惡意代碼所執(zhí)行的Cookie就會替換用戶的Cookie進(jìn)行操作，例如，當(dāng)用戶訪問攻擊者所發(fā)送的惡意鏈接后，惡意代碼會以用戶的名義發(fā)送郵件、添加系統(tǒng)管理員權(quán)限、購買虛擬商品等。CSRF漏洞也可以組合成一個CSRF蠕蟲，當(dāng)一個用戶訪問惡意鏈接后，惡意代碼會通過CSRF漏洞獲取該用戶的好友列表信息，之后利用私信好友的CSRF漏洞給其每個好友發(fā)送一條指向惡意頁面的信息，只要有人訪問這個信息中的鏈接，CSRF蠕蟲就會不斷傳播下去。CSRF漏洞可能造成的危害和影響還是比較大的。漏洞危害二02任務(wù)1跨站請求偽造漏洞分析任務(wù)1跨站請求偽造漏洞分析02能夠進(jìn)行跨站請求偽造漏洞的分析了解網(wǎng)絡(luò)安全等級保護(hù)制度中安全整改環(huán)節(jié)的基本內(nèi)容。任務(wù)目標(biāo)一任務(wù)實(shí)施二CSRF攻擊不是只有借助用戶的瀏覽器才能執(zhí)行，攻擊者還可以通過腳本偽造一個HTTP請求來誘導(dǎo)用戶訪問，測試代碼如下：任務(wù)1跨站請求偽造漏洞分析02任務(wù)實(shí)施二登錄界面如圖6-1所示，此時如果攻擊者將一個可以添加用戶的惡意鏈接發(fā)送給管理員，并誘導(dǎo)管理員單擊該惡意鏈接，那么在管理員單擊該惡意鏈接后，攻擊者就可以以管理員的身份執(zhí)行添加用戶的操作。在測試時，可以通過BurpSuite生成CSRF的PoC：在界面空白位置處單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“Engagementtools”→“GenerateCSRFPoC”命令，即可生成CSRF的PoC，如圖6-2所示。在保存HTML頁面后，可以誘導(dǎo)管理員打開該頁面。在攻擊者成功誘導(dǎo)管理員打開保存的HTML頁面后，攻擊者就可以以管理員的身份執(zhí)行添加用戶的操作了。03任務(wù)2跨站請求偽造漏洞代碼審計任務(wù)2跨站請求偽造漏洞代碼審計03能夠進(jìn)行跨站請求偽造漏洞的代碼審計了解國家信息安全漏洞庫（CNNVD）的“漏洞獎勵計劃”，樹立為我國網(wǎng)絡(luò)安全漏洞消減做貢獻(xiàn)的志向。任務(wù)目標(biāo)一任務(wù)實(shí)施二1．環(huán)境搭建本任務(wù)使用旅燁CMS3.0.0，在下載源代碼后，將壓縮包解壓縮到根目錄中，訪問localhost，進(jìn)入“旅燁CMS安裝向?qū)А钡摹皺z測環(huán)境”界面，即可對系統(tǒng)進(jìn)行檢查，包括PHP版本、MySQL版本、函數(shù)是否支持當(dāng)前環(huán)境和程序要求，以及目錄、文件是否有可讀/寫文件權(quán)限等方面。“檢測環(huán)境”界面如圖6-3所示。任務(wù)2跨站請求偽造漏洞代碼審計03任務(wù)實(shí)施二在環(huán)境檢測通過后，單擊“下一步”按鈕，進(jìn)入“創(chuàng)建數(shù)據(jù)”界面，如圖6-4所示，可以在此輸入“數(shù)據(jù)庫信息”、“網(wǎng)站配置”和“創(chuàng)始人信息”。之后單擊“創(chuàng)建數(shù)據(jù)”按鈕，即可開始安裝。在旅燁CMS3.0.0安裝成功后，如圖6-5所示，用戶可以直接訪問后臺。1．環(huán)境搭建任務(wù)2跨站請求偽造漏洞代碼審計03任務(wù)實(shí)施二在/lvyecms/Application/Admin/Controller/ManagementController.class.php文件中，添加管理員功能，首先判斷請求是否是POST請求，并在實(shí)例化后將其代入createManager()函數(shù)，代碼如下：跟蹤createManager()函數(shù)，可以看到代碼中并沒有身份令牌，參數(shù)無須向服務(wù)端證明自己的身份，從而導(dǎo)致跨站請求偽造漏洞，代碼如下：2．漏洞分析任務(wù)2跨站請求偽造漏洞代碼審計03任務(wù)實(shí)施二訪問/admin.php?m=Public&a=login，進(jìn)入登錄界面；輸入在安裝自定義后臺時設(shè)置的賬號、密碼，進(jìn)入后臺管理界面；在頂部導(dǎo)航欄中選擇“設(shè)置”標(biāo)簽，在左側(cè)導(dǎo)航欄中選擇“管理員設(shè)置”→“管理員管理”標(biāo)簽，進(jìn)入“管理員管理”界面；之后打開“添加管理員”選項(xiàng)卡，如圖6-6所示。在通過BurpSuite獲取數(shù)據(jù)包后，在界面空白位置處單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“Engagementtools”→“GenerateCSRFPoC”命令，即可生成CSRF的PoC，如圖6-7所示。3．漏洞利用任務(wù)2跨站請求偽造漏洞代碼審計03任務(wù)實(shí)施二在攻擊者構(gòu)造好惡意鏈接并將其發(fā)送給管理員后，只要誘導(dǎo)管理員單擊該惡意鏈接，攻擊者就可以以管理員的身份操作惡意請求，并執(zhí)行添加管理員的操作，結(jié)果如圖6-8所示。3．漏洞利用04項(xiàng)目復(fù)盤