CSRF+XSS组合攻击实战

下载源码，解压到网站根目录

1.修改数据库配置文件

打开源码，进入到include目录下，打开数据库配置文件database.inc.php

将数据库的用户名和密码修改为自己数据库的用户名和密码，数据库名可以不改。然后保存。

2.导入SQL文件

方法一：使用Navicat导入

打开navicate,新建数据库，名字写为刚才我们上面的数据库名，若没有修改，数据库名就是cms

右键点击我们刚才的数据库，选择运行SQL文件（若右键之后，运行SQL文件是灰色的，则先点击打开数据库）

选择源码下的install.sql文件

然后浏览器打开访问网站。

方法二：命令行方式导入

打开命令行，win+r，输入cmd，回车，在命令行界面输入mysql -u root -p

输入密码。

创建数据库 creat database cms

选中数据库use cms，导入sql文件，source sql文件地址，

例如：source D:\phpstudy_pro\WWW\cms\install.sql

导入成功，打开浏览器访问网站。

访问路径：域名\cms\index.php

进入后台管理界面找到添加用户的功能点，进行抓包分析

管理员用户名admin，密码123456

添加用户，进行抓包

右键利用burpsuite自带的csrfPOC生成工具生成

把这个复制写到一个页面上，在登录到那个cms管理员账户的情况下，访问这个页面，就会发现用户里面多了一条用户记录。由于CSRF利用条件比较苛刻，需要受害者点击恶意请求。因此我们可需要借助XSS来扩大危害，借用XSS漏洞执行JS代码，让JS直接发起请求，从而不需要让受害者点击恶意请求了。

编写恶意JS代码

代码说明

复制代码

xmlhttp = new XMLHttpRequest();

创建 XMLHttpRequest 对象 ：XMLHttpRequest 是 JavaScript 用于与服务器进行交互的对象。在这里，创建了一个新的 XMLHttpRequest 对象 xmlhttp。

复制代码

xmlhttp.open("post", "http://localhost:8083/cms/admin/user.action.php", false);

复制代码

xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");

设置请求头 ：setRequestHeader() 方法用于设置 HTTP 请求头。这里设置 Content-type 为 application/x-www-form-urlencoded，表示发送的数据将按照表单 URL 编码的方式进行编码。

复制代码

xmlhttp.send("act=add&username=yuanboss&password=123456&password2=123456&button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7&userid=0");

通过查询cms靶场，找到了一个留言板，因为留言板需要管理员去审核，所以可以进行一个存储型xss注入。

在留言板留言我们刚才构造的恶意JS代码，进行xss+csrf组合攻击

模仿管理员去审核留言

打开账号管理，查看账号

多了一条用户名为张的用户记录。