前言:某一天看到大佬一篇文章,大致内容是通过存储xss钓到了cookie然后伪造登录,其中一张图看到了图形化界面的xss利用平台,就上网搜了搜学了学便有了菜鸡的这篇文章.....
分本地搭建环境和在线平台 推荐在线平台...(好玩且安全)
本地搭建环境-BlueLotus_XSSReceiver-master(蓝莲花)
1.靶场搭建
(GitHub)下载BlueLotus_XSSReceiver-master后,解压放到phpstudy的www目录下(不能有同级目录存在)
在浏览器访问http://127.0.0.1/BlueLotus_XSSReceiver-master,会跳转到安装页面,直接点击安装
默认点击提交就好,需要注意的是,后台登录默认密码是:bluelotus
提交后,显示安装成功,直接点击登录就跳转
2.使用
启动DVWA靶场,DVWA Security设置成low,之后打开反射型xss界面,复制网址(dvwa密码可在数据库找到,我也放在www目录下了)
3.创建“我的js”模块
进入“我的JS”模块输入要创建的模板名,选择要用的模块,点击插入模块,之后点击新增按钮
新增我的js成功后,点击生成payload并复制生成的payload
将复制的payload,放到dvwa的xss模块执行
(由于该xss数据接收靶场存在一点问题,所以,这里需要访问一下http://127.0.0.1/BlueLotus_XSSReceiver-master/,再访问
http://127.0.0.1/BlueLotus_XSSReceiver-master/admin.php,才能看到接收到的dvwa的cookie。)
XSS在线平台https://xssaq.com/
用下来这个在线的比上面好用
1、 首先其不需要搭环境
2、 其次基础模块用下来很强大
登录账号和密码:poilkjmnb,QWE123
我的项目,点击创建,项目名称和描述随便填,之后点击下一步,选择需要的模板,这里选择“基础默认模块”就好,之后点击下一步,项目就创建成功了
项目创建成功后,任意复制一条生成的poc,到dvwa靶场的xss模块执行poc
在dvwa中执行完poc后,点击刚刚创建的项目就可查看到接收到的靶场的cookie
建议直接选择最强基础模块(还有截图功能可玩..)
更多玩法还得大家自己去研究研究,仅供入门参考la...
原文始发于微信公众号(符符要努力):菜鸡初玩-XSS数据接收平台
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论