今天学习一下 XSS + CSRF 组合拳，现将笔记记录如下。

本机（Win）：192.168.38.1

DVWA（Win）：192.168.38.132

Beef（Kali）：192.168.38.129

第一拳：存储型 XSS + CSRF（存储型 XSS 攻击代码中加入 CSRF 代码链接）

第二拳：CSRF + SelfXSS（CSRF 代码中加入 SelfXSS 代码）

a、构造 CSRF 代码

这里建议使用 CSRFTester 工具生成的 POC，比使用 BurpSuite 生成的 POC 更加隐蔽，受害者打开该 POC 后，浏览器会自动执行代码随后跳转到正常页面，中途不需要用户交互，也不用像 BurpSuite 生成的 POC 那样还需要受害者手动点击按钮。

本文所使用的 CSRF POC 便是基于 CSRFTester 生成的 POC。关于该工具的下载地址，读者可自行搜索，不过也可在我的个人微信公众号：“TeamsSix” 后台回复 “ CSRF ” 获取官方下载链接。

继续来看，咱们需要首先为浏览器设置 8008 代理，打开 DVWA 的 CSRF 模块，输入密码后，先别急着点击 Change.

这时先开启 CSRFTester 的流量记录功能。

开启后，再点击 Change，之后 CSRFTester 就会抓取到修改密码的数据包，这个时候，一般 CSRFTester 还会记录其他流量，所以直接右击将不相关的流量进行删除即可，只保留我们需要的流量。

之后，在 Form Parameters 中将左侧 Query Parameters 数据修改复制即可，值得注意的是 Display in Browers 选项是默认勾选的，这里建议根据自己情况而定。因为这个工具自动生成的代码在我这边是需要手动修改才能利用的，所以我这边选择取消勾选。

之后点击 Generate HTML，选择保存的位置后，手动进行修改即可，当然如果工具生成的代码可以正常使用，就不需要修改了。

对于代码的修改，我主要是将 head、H2标题的内容删除了，以增加隐蔽性。同时增加了倒数第 4 行的代码，因为没有这一句，这个 POC 是不能正常使用的，最后修改后的 CSRF POC 代码如下。

将上面代码放到本地 Web 服务中，打开其他浏览器，登陆其他账户，再打开我们构造的 CSRF 链接。

打开链接后，beef 中就能看到上线的主机了。

不过由于这个组合拳是需要诱导受害者点击构造的 CSRF 链接的，所以个人觉着利用难度要高于第一个组合拳：存储型 XSS + CSRF.

暂时笔记就记录到这里，对于组合拳的利用方法也还有很多，这里只是自己简单的记录了两种。平时挖洞的时候利用好组合拳，所起到的效果可是杠杠滴。

*本文原创作者：TeamsSix，本文属于FreeBuf原创奖励计划，未尽许可禁止转载