在前面的文章中,通过靶场讲到了xss漏洞的形成、利用及其防范。但是xss的玩法不止哪些,我们可以配合xss的接收平台完成其他的花样。
注意:本文仅供学习和研究,坚决反对一切危害网络安全的行为。造成后果自行负责。
Xss 数据接收平台
通过编写相应功能的js代码。可以通过js实现弹窗、截图、键盘记录等神秘操作。通过xss漏洞植入上述js代码。然后数据会返回我们的xss数据接收后台。
搭建
数据接收平台的搭建也比较简单,我们只需要在本地搭建web环境就行了。
其他系统
sudo apt-get install apache2 php7.0 libapache2-mod-php7.0
apt-get install apache2``
kali搭建
因为在kali中已经安装了对于的web环境。我们只需要下载项目到apache目录即可。
git clone https://github.com/trysec/BlueLotus_XSSReceiver
cp -r BlueLotus_XSSReceiver/* /var/www/html
#启动
service apache2 start
启动完成后,我们便可以访问kali的IP地址进入配置页面。(最新版本可能由于php版本过高,可能无法运行)
安装完成后,利用密码进行登录。
功能特性
自动base64编码解码
消息提示
支持公用模板和自定义模板
自定义模板
快捷生成js
总结
这款xss接收平台虽然很长时间没有更新。但是使用非常上手。无需配置数据库,开箱即用。配置也比较简单,如何你有更好的项目,欢迎分享哦!
作者项目地址: https://github.com/trysec/BlueLotus_XSSReceiver
更多精彩文章 欢迎关注我们