本地搭建XSS平台

网上的XSS平台有很多,但是并不是全都安全的,毕竟敏感信息要传输到陌生人的服务器上,这怎么行呢
aaa.gif
这里的源码用的是清华大学蓝莲花战队编写的,在github上也有项目
https://github.com/firesunCN/BlueLotus_XSSReceiver

将下载好的源代码直接放到网站根目录下即可(不会建本地网站的可以看看之前的文章)

打开网站
1.png
接着
2.png
登录后台,访问http://服务器IP地址/login.php
3.png

接下来配置一下接收cookies的地址
4.png

本地搭建的话修改成如图所示,然后点击最下面的修改即可
5.png

然后点我的JS
6.png
在选择模板的地方选择我们刚刚修改好的default.js模板
然后点击插入模板,再点击修改即可
7.png

最后点击生成payload即可
8.png

如何利用XSS漏洞呢?

在这里举一个存储型的XSS漏洞

当打开网站时,发现在留言框中能执行以下代码时即存在存储型XSS漏洞(虽然现在的网站很少存在单XSS漏洞的了)
9.png

在留言板内输入上述内容
结果
10.png

说明存在XSS漏洞

如何利用XSS漏洞?

将payload复制进留言板
11.png

发完以后就行了

当管理员登录并看到这条留言的时候管理员的cookies就被我们截取了

管理员登录并查看留言
12.png

这时候返回我们的XSS平台
13.png

管理员的cookies就被我们截取了

有了登录地址和管理员cookies我们就可以不用密码登录管理员账号了

首先打开登录地址
14.png

这时候是没登录的

再按f12(这里用火狐浏览器的),将前面的cookies添加后刷新一下就进入后台了
15.png

相关推荐

发表评论

路人甲

网友评论(0)