前言
最近看到老外在卖一个二十美刀一个月的反射xss扫描器,同时在github找到另一个老外做的差不多的开源工具,其实就是拿着payload一顿梭哈,那么我直接把这俩的payload提取去重,原来俩各有两千多个payload,去重后一共3697个,文末获取下载链接。
然后就可以拿着开源的工具一顿梭哈,自行替换payload文件夹下的xss.txt,那有人就问了,反射xss有啥用,啊hackone有些项目是收反射xss的,中危,从这个工具的用户反馈是挣了300美刀,祝大家也能捡漏。
以下是开源项目介绍:
| Loxs | 多漏洞扫描器 | 用于网络应用 |
|---|---|---|
L |
= |
本地文件包含 (LFI) |
O |
= |
开放重定向 (OR) |
X |
= |
跨站脚本 (XSS) |
S |
= |
结构化查询语言注入 (SQLi) |
回车换行注入 (CRLF) |
❝
Loxs 是一个易于使用的工具,可以查找网络应用中的问题,如
LFI-OR-SQLi-XSS-CRLF。
制作人-AnonKryptiQuzxCoffinxpxHexShad0wxNahox1hehaq!
| 特性 | 说明 |
|---|---|
LFI 扫描器 |
检测本地文件包含漏洞。 |
OR 扫描器 |
识别开放重定向漏洞。 |
SQL 扫描器 |
检测 SQL 注入漏洞。 |
XSS 扫描器 |
识别跨站脚本漏洞。 |
CRLF 扫描器 |
检测回车换行注入漏洞。 |
多线程扫描 |
通过多线程提高性能。 |
可定制载荷 |
根据特定目标调整载荷。 |
成功标准 |
修改成功检测标准以适应特定用例。 |
用户友好的命令行界面 |
简单直观的命令行界面。 |
保存漏洞 URL |
可以选择将漏洞 URL 保存到文件中以供将来参考。 |
生成 HTML 报告 |
生成详细的 HTML 报告,列出发现的漏洞。 |
| <!-- | 通过 Telegram 分享 HTML 报告 |
| 语言 | 依赖包 |
|---|---|
| Python | Python 3.x webdriver_manager selenium aiohttp beautifulsoup4 colorama richrequests gitpython prompt_toolkit pyyaml Flask |
安装
克隆仓库
git clone https://github.com/coffinxp/loxs.git
cd loxs
安装依赖
pip3 install -r requirements.txt
运行脚本
python3 loxs.py
| 输入信息 | |
|---|---|
| 输入 URL/文件 | 提供单个 URL 或包含多个 URL 的输入文件以进行扫描。 |
| 载荷文件 | 选择或提供自定义载荷文件,以进行特定类型的漏洞扫描。 |
| 成功标准 | 定义表示成功利用尝试的模式或字符串。 |
| 并发线程 | 设置多线程扫描的线程数。 |
| 查看和保存结果 | 在扫描过程中实时显示结果,并保存漏洞 URL 以便将来使用。 |
| 自定义 | |
|---|---|
| 自定义载荷 | 修改或创建不同漏洞类型的载荷文件,以针对特定应用程序。 |
| 成功标准 | 调整工具的成功模式,以更准确地检测成功的利用情况。 |
| 并发线程 | 控制扫描过程中使用的线程数量,以优化性能。 |
Chrome 安装
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb
sudo dpkg -i google-chrome-stable_current_amd64.deb
-
如果在安装过程中遇到任何错误,请使用以下命令::
sudo dpkg -i google-chrome-stable_current_amd64.deb
Chrome 驱动程序安装
wget https://storage.googleapis.com/chrome-for-testing-public/128.0.6613.119/linux64/chromedriver-linux64.zip
unzip chromedriver-linux64.zip
cd chromedriver-linux64
sudo mv chromedriver /usr/bin
PAYLOAD
https://wwqn.lanzoul.com/icUf72g8t3yd
原文始发于微信公众号(棉花糖fans):一键梭哈工具!3697个xss payload助力h1赚美刀
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论