菜鸡初玩-XSS数据接收平台

admin 2024年5月21日20:51:24评论4 views字数 1024阅读3分24秒阅读模式

前言:某一天看到大佬一篇文章,大致内容是通过存储xss钓到了cookie然后伪造登录,其中一张图看到了图形化界面的xss利用平台,就上网搜了搜学了学便有了菜鸡的这篇文章.....

分本地搭建环境和在线平台    推荐在线平台...(好玩且安全)

本地搭建环境-BlueLotus_XSSReceiver-master(蓝莲花)

1.靶场搭建
(GitHub)下载BlueLotus_XSSReceiver-master后,解压放到phpstudy的www目录下(不能有同级目录存在)

菜鸡初玩-XSS数据接收平台

在浏览器访问http://127.0.0.1/BlueLotus_XSSReceiver-master,会跳转到安装页面,直接点击安装

菜鸡初玩-XSS数据接收平台

默认点击提交就好,需要注意的是,后台登录默认密码是:bluelotus

菜鸡初玩-XSS数据接收平台

提交后,显示安装成功,直接点击登录就跳转

菜鸡初玩-XSS数据接收平台

2.使用

启动DVWA靶场,DVWA Security设置成low,之后打开反射型xss界面,复制网址dvwa密码可在数据库找到,我也放在www目录下了)

菜鸡初玩-XSS数据接收平台

3.创建“我的js”模块

进入我的JS”模块输入要创建的模板名,选择要用的模块,点击插入模块,之后点击新增按钮

菜鸡初玩-XSS数据接收平台

新增我的js成功后,点击生成payload并复制生成的payload

菜鸡初玩-XSS数据接收平台

将复制的payload,放到dvwaxss模块执行

菜鸡初玩-XSS数据接收平台

(由于该xss数据接收靶场存在一点问题,所以,这里需要访问一下http://127.0.0.1/BlueLotus_XSSReceiver-master/,再访问

http://127.0.0.1/BlueLotus_XSSReceiver-master/admin.php,才能看到接收到的dvwa的cookie。)

菜鸡初玩-XSS数据接收平台

XSS在线平台https://xssaq.com/

用下来这个在线的比上面好用

1、 首先其不需要搭环境

2、 其次基础模块用下来很强大

登录账号和密码:poilkjmnb,QWE123

我的项目,点击创建,项目名称和描述随便填,之后点击下一步,选择需要的模板,这里选择基础默认模块就好,之后点击下一步,项目就创建成功了

菜鸡初玩-XSS数据接收平台

菜鸡初玩-XSS数据接收平台

项目创建成功后,任意复制一条生成的poc,到dvwa靶场的xss模块执行poc

菜鸡初玩-XSS数据接收平台

菜鸡初玩-XSS数据接收平台

dvwa中执行完poc后,点击刚刚创建的项目就可查看到接收到的靶场的cookie

菜鸡初玩-XSS数据接收平台

建议直接选择最强基础模块(还有截图功能可玩..

菜鸡初玩-XSS数据接收平台

更多玩法还得大家自己去研究研究,仅供入门参考la...

原文始发于微信公众号(符符要努力):菜鸡初玩-XSS数据接收平台

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月21日20:51:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   菜鸡初玩-XSS数据接收平台https://cn-sec.com/archives/2762496.html

发表评论

匿名网友 填写信息