搭建属于自己的xss平台
一、什么是打 cookie
简单来说就是:在你访问的页面上执行了一次JS代码,这次代码的执行后可以获取你当前已经登录某个网站的cookie ,并将该cookie 发送到攻击者指定的网站,攻击者利用你的cookie 登录你的账号。
攻击者用来接收cookie 的平台就叫做xss 平台,在网上其实有很多这种平台,但其实有的平台存在黑吃黑的现象(懂得都懂),而且有很多渗透测试任务都是保密的,不可能去第三方网站。
二、cookie 接收平台
这里推荐一个平台,BlueLotus_XSSReceiver ,这个是清华战队蓝莲花战队成员做的一个平台,优点是足够小,不需要数据库,只要有个能运行php 的环境就可以了,缺点是一般只适合一个人用。
(1)BlueLotus_XSSReceiver 的安装
1、首先是需要安装phpstudy 的,因为需要运行php 的环境
SQL注入之sqli-labs_清丶酒孤欢ゞ的博客-CSDN博客
这个是我之前写的一篇文章,里面有phpstudy 的安装教程
2、然后下载 BlueLotus_XSSReceiver
BlueLotus_XSSReceiver: XSS平台 CTF工具 Web安全工具 (gitee.com)
下载后将其解压到phpstudy 根目录下的 WWW 里面,可以重命名为一个简单点的名字,方便我们输入访问(我这里命名为 xss)
3、配置 BlueLotus_XSSReceiver
我们先打开phpstudy 的apache,然后打开浏览器,输入127.0.0.1/xss/install.php
然后进入安装页面
点击安装,可以修改一下后台登录密码(一定要记得,这个密码忘了很麻烦的),其他不建议动,点击提交,安装成功,点登录,尝试一下
成功搭建
(2)BlueLotus_XSSReceiver 的简单演示
这里用一个简单的打cookie的例子来演示一下他的用法
我们看到公共模板里面就有很多模板,我们选择 default.js,因为他是可以获得后台地址和cookie的
打开我的js,添加,
上面那个文件名和说明随便你填什么都行,模板我们选default.js,插入模板,
修改网址为自己的网址,点下面的新增保存,再点生成payload ,这里可以对payload进行加密什么的处理,我这里就不处理了,有兴趣可以自行探索
然后再打开一个dvwa(这个是真经典,因为这里是本机打开的,如果你想要模拟真实的话,可以开台虚拟机什么的,但是那种情况就不能用127.0.0.1 这个本地地址了,要用自己的真实ip地址,但是我这边怕大佬连我就不用自己的IP了哈哈哈)
点击DVWA security调一下难度为Low,提交后点击 XSS(Stored)存储型xss,将我们的payload放到name,message里面去,不过这里他进行了限制字数,我们打开f12开发者工具,定位到name那个框
直接进行修改,改个大一点的数字,只要能将我们的payload 全部放进去就行了
我这边改了个100,下面的message同样如此
提交,刷新一下就发现我们xss 平台上收到两封邮件
可以看到我们已经拿到了cookie了,我们进入dvwa网站的登录页面,f12,点击console,输入
document.cookie='' 引号之间填我们拿到的cookie,回车保存,直接将网址后面的login.php 删掉回车就可以实现登录了,当然,这里也有一款浏览器插件cookie editor可以修改
Cookie-Editor - Crx4Chrome插件下载
下载后解压到一个文件夹里面,打开浏览器插件,
打开开发者模式,点击加载已解压的扩展程序,选择我们解压的那个文件夹,就可以了
安装完成后可以在开发者工具中打开使用
搭建属于自己的xss平台相关推荐
- 手把手教你搭建XSS平台
文章目录 前言 一.源码及运行环境准备 (一)XSS平台源码从哪里下载? (二)操作系统和工具的准备 二.平台搭建 (一)新建网站目录 (二)导入数据库 (三)修改数据库 (四)修改配置文件 1.co ...
- 怎么搭建xss平台云服务器,最详细搭建xss平台
hello 大家好 我是Si Lun 今天来教大家搭建xss平台吧 就在刚刚老夫也是刚刚搭建完了,亲测可用, 拿出来跟大家分享下,其实自己没有必要去搭建,外面一堆xss平台,但是如何搭建的,还是要知道 ...
- 在虚拟机上搭建xss平台
目录 1.将源码放进虚拟机 2.更改配置文件 3.创建数据库 4.导入数据库 5.修改域名 6.添加.htaccess伪静态文件 7.使用 8.提权 9.测试 10.资源 前言:在实施xss攻击的时候 ...
- xss漏洞之——XSS平台搭建
前言 经过测试,如果发现了XSS漏洞,那么我们可以结合一些XSS工具来进行利用.常见的XSS利用工具有下面几个: 1.kali下的beef (1)kali命令行里输入beef-xss,得到一个脚本 & ...
- XSS平台搭建(xsser.me)
0x00 XSS Platform 介绍 XSS漏洞的利用一直以来有各种各样的方式,不过XSS平台无疑是其中的佼佼者.XSS Platform集成了一些常见的XSS Payload,可以很方便的利用漏 ...
- XSS跨站脚本攻击(DVWA XSS攻击详解、XSS平台搭建)
一.跨站脚本攻击过程 二.XSS攻击定义及危害 三.XSS攻击常见分类 例:反射型 例:存储型 例:DOM型 四.XSS攻击常见编码 例: 编码后: 五.XSS常见测试语句 Script 标签 Scr ...
- 从零开始Ubuntu下xss平台搭建的完整教程
0x01 环境搭建 apache安装 在ubuntu下安装apache2很简单,只要用apt-get install apache2就可以了,安装完成后,在 /etc/apache2/路径下,有个ap ...
- 从零开始搭建轻量级个人XSS平台(BlueLotus_XSSReceiver-master蓝莲花)
一. 前言 决定搭建XSS平台是因为自己想深入学习一下XSS相关的知识,多多进行实践,上网搜索了一下XSS平台有很多,但是总觉得不是很安全,这个毕竟敏感信息要传输到陌生人的服务器上,而且服务器端测试代 ...
- XSS平台的简单搭建和获取cookie
搭建蓝莲花XSS平台. 1.什么是XSS平台 XSS平台可以辅助安全测试人员对XSS相关的漏洞危害进行深入学习,了解XSS的危害重视XSS的危害,如果要说XSS可以做哪些事情,XSS可以做js能够做的 ...
最新文章
- 50行Python代码 就能轻松实现中英文对接翻译小程序
- #51CTO学院四周年# 成长路上的我和你
- c语言实验七 函数实验报告,C语言实验七函数实验报告.doc
- Python 常用Web框架的比较
- jQuery Validate验证框架详解
- Elasticsearch Query DSL基础介绍
- datetime报错 sql脚本_《SQL必知必会》附录A样例表的获取和导入
- 电子数字 网易游戏在线笔试 第一题 hihocoder
- python tensorflow 智能家居_用GPU加速深度学习: Windows安装CUDA+TensorFlow教程
- tar压缩及解压命令
- 采用qt技术,开发OFD电子文档阅读器
- mw150um 驱动程序win10_win10系统版水星mw150us无线网卡驱动
- SAP中通过删除新建未记账成本要素期间的方式更改成本要素类别
- 卫星勘测洪水数据网站
- 已知ip地址如何算默认网关
- Flutter基础七:Sliver,设置一些样式
- 国内8款热门协作软件综合比较
- C语言100题练习计划 31——计算两数的和与差(函数实现)
- 在 Mac/win7 下上使用 Vagrant 打造本地开发环境
- 什么是HotSpot虚拟机