XSS数据接收平台

一.使用xss数据接收平台的好处:

正常执行反射型xss和存储型xss,反射型xss在执行poc时,会直接在页面弹出执行注入的poc代码;存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;而使用这种数据接收平台,在用户页面就不会再弹出这个窗口,但在数据接收平台还是可以获取到用户的cookie,以免被用户发觉。

二.BlueLotus_XSSReceiver-master(蓝莲花)

1.靶场搭建

1.下载BlueLotus_XSSReceiver-master后,解压放到phpstudy的www目录下

2.在浏览器访问http://127.0.0.1/BlueLotus_XSSReceiver-master,会跳转到安装页面,直接点击安装

3.默认点击提交就好,需要注意的是,后台登录默认密码是:bluelotus

4.提交后,显示安装成功,直接点击登录就跳转到,登录控制面板,输入前面的密码,即可登录到XSS接受面板

2.使用

1.启动DVWA靶场,DVWA Security设置成low,之后打开反射型xss界面,复制网址

2.创建"我的js"模块

进入"我的JS"模块输入要创建的模板名,选择要用的模块,点击插入模块,之后点击新增按钮

3.新增我的js成功后,点击生成payload并复制生成的payload

4.将复制的payload,放到dvwa的xss模块执

5.由于改xss数据接收靶场存在一点问题,所以,这里需要访问一下http://127.0.0.1/BlueLotus_XSSReceiver-master/,再访问http://127.0.0.1/BlueLotus_XSSReceiver-master/admin.php,才能看到接收到的dvwa的cookie。![](https://file.jishuzhan.net/article/1758847428917727234/6996ef42415cb69842035add6ad86ee5.webp)

Pikachu、xss靶场都是同样的使用方法

三.XSS在线平台

1.访问xss在线数据接收平台:XSS平台-仅用于xss安全测试专用,登录账号和密码:poilkjmnb,QWE123

2.进入到xss在线平台主页

3.我的项目,点击创建,项目名称和描述随便填,之后点击下一步,选择需要的模板,这里选择"基础默认模块"就好,之后点击下一步,项目就创建成功了

4.项目创建成功后,任意复制一条生成的poc,到dvwa靶场的xss模块执行poc

5.在dvwa中执行完poc后,点击刚刚创建的项目就可查看到接收到的靶场的cookie

Pikachu、xss靶场都是同样的使用方法

相关推荐
谭光志7 小时前
工具塞满上下文窗口怎么办?深度拆解 AI Agent Tool Search 按需加载实现原理
前端·后端·ai编程
Hilaku7 小时前
前端架构师的克制:什么时候该坚决对新技术说不?
前端·javascript·程序员
陈随易7 小时前
前端项目部署只要30秒
前端·后端·程序员
本末倒置1837 小时前
从 Vue CLI 迁移到 Rsbuild 后,JSX 突然全挂了?一次排查记录
前端
古夕7 小时前
多应用同域部署下 Favicon 异常问题排查与治理
前端·javascript
YIAN7 小时前
从零手写文件读取 MCP 服务:一文吃透 Model Context Protocol 全链路通信原理
前端·后端·mcp
Imchendiana7 小时前
《狂人日记NO.9》— 前后端一把梭,我的全栈实录
前端·后端
逍遥运德8 小时前
前端工程化-03:包管理NPM-package.json 和 package-lock.json 详解
前端·前端框架·前端工程化
逗逗豆巴吧8 小时前
WPS 加载项中实现当前文档直接上传
前端·javascript·ecmascript 6
慢功夫8 小时前
💡【调试】按下 F5 后,mini-vscode 到底做了什么
前端·visual studio code