XSS数据接收平台——蓝莲花(BlueLotus)

已于 2023-07-01 23:01:55 修改
阅读量6.3k 收藏 39
点赞数 6
分类专栏: web安全工具介绍与安装 web安全 文章标签: xss
于 2023-06-17 19:49:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p36273/article/details/131263927
版权

文章目录

一、前言

蓝莲花平台是清华大学曾经的蓝莲花战队搭建的平台,该平台用于接收xss返回数据。

  • 用xss数据接收平台的好处:
    正常执行反射型xss和存储型xss,反射型xss在执行poc时,会直接在页面弹出执行注入的poc代码;存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;而使用这种数据接收平台,在用户页面就不会再弹出这个窗口,但在数据接收平台还是可以获取到用户的cookie,以免被用户发觉。

二、安装

1、跟安装靶场的步骤差不多,直接把压缩包BlueLotus_XSSReceiver-master.zip在www目录下解压,然后浏览器访问:http://127.0.0.1/BlueLotus_XSSReceiver-master,就会直接跳转到安装界面上面来。
在这里插入图片描述

2、点击“安装”,有需要可以修改密码,然后点击提交
在这里插入图片描述

3、登录平台
在这里插入图片描述

三、使用

你可以使用自己的模板,也可以使用提供的公共js模板,这里就使用自带的公共模板了
在这里插入图片描述

1、我的JS创建一个模板

在这里插入图片描述
在这里插入图片描述

2、使用创建的模板攻击

在这里插入图片描述

3、打开攻击的目标(这里选择pikachu靶场的存储型XSS模块测试)

打开pikachu靶场,把复制的payload放进去

在这里插入图片描述

4、查看返回的数据

!注意:蓝莲花靶场有点小问题,必须关闭页面重新进入才能查看
在这里插入图片描述

假设该留言板是搭建在服务器的正常网站,这时候其他人来留言,我都能够在这里获得留言人的cookie值。

p36273
关注
专栏目录
保护网站安全:学习蓝莲花的安装和使用,复现跨站脚本攻击漏洞及XSS接收平台
weixin_43263566的博客
08-29 1036
攻击者将恶意脚本注入到目标网站的数据库中,然后其他用户在访问包含该恶意脚本的页面时,从数据库中读取并执行该恶意脚本。
xss-receiver:简单易用的 xss 接收平台 + payload 管理平台
05-26
XSS Receiver 基于 Flask 的 xss 接收 + payload 管理平台, 主要功能: 在特定路由上保存访问历史以及携带数据 命中特定路由时发送邮件 动态切换路由及其对应的 payload 文件 管理、编辑 payload Docker 快速部署 安装 clone git clone https://github.com/rmb122/xss-receiver.git 安装 修改 docker-compose.yml 里面的 environment 成想要的配置 URL_PREFIX 为管理面板的路径, 建议修改为不易猜出的路径, 例如 /e7ca70a07ec48cdc74c2217f55d08c383d37e62d LOGIN_PASSWORD 为登录密码, 其他可以不用修改 然后 sudo docker-compose up -d 稍等一会等待数据库初始化即可. 注
手把手教你搭建XSS平台
热门推荐
seek_2022的博客
05-05 1万+
出于学习和技术分享的目的研究了一下XSS平台搭建的方法,由于网络上的教程虽然很多,但是对于很多细节的讲解不够深入,现将XSS平台搭建方法分享给大家。
xss接收平台推荐-xss平台-xss在线平台
vetus1的博客
08-12 1068
目录二.XSS在线平台1.访问xss在线数据接收平台:2.创建xss测试项目​编辑3.查看项目对应xss测试代码4.在线功能发送即时代码5.自定义代码的利用6.伪造后台页面测试返回发送明文数据​ 7.延伸搭配自定义代码和发送js搭配模块 自动化钓鱼测试XSS平台-仅用于xss安全测试专用https://d00.cc我们可以看到 有很多返回的信息 包括页面截图 接下来我们测试一下触发效果
web基础之XSS
最新发布
m0_74080781的博客
09-10 1084
突然想到一个问题,我刚才制作的攻击语句中的IP是本地的回环地址,所以如果我在虚拟机的靶场中测试攻击,那么我的蓝莲花平台接收不到的,所以这里先在本地的靶场测试,等下在演示在虚拟机中的(如果蓝莲花平台部署在云服务器,就能攻击其他互联网用户)(2)尝试了大佬的在线xss平台;(该平台主机上线有提示语音并且功能比蓝莲花和我搭建的另一个xss平台都好,所以就借助大佬搭建的xss平台作为本期演示平台)填写接收数据的url ,格式:当前蓝莲花平台的url + 文件名(文件名自己取)(1)首先尝试,不成功;
XSS 进阶篇:一文全面了解蓝莲花基本用法
weixin_43263566的博客
02-02 5039
XSS - 进阶篇(蓝莲花的基本使用)
XSS另类攻击(三)自建XSS接收平台BlueLotus
05-22 715
XSS另类攻击(三)自建XSS接收开源平台BlueLotus,有搭建说明、使用说明和注意事项,以及优缺点。
XSS数据接收平台
2301_81475812的博客
02-16 1562
存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;3.我的项目,点击创建,项目名称和描述随便填,之后点击下一步,选择需要的模板,这里选择“基础默认模块”就好,之后点击下一步,项目就创建成功了。4.提交后,显示安装成功,直接点击登录就跳转到,登录控制面板,输入前面的密码,即可登录到XSS接受面板。进入“我的JS”模块输入要创建的模板名,选择要用的模块,点击插入模块,之后点击新增按钮。4.将复制的payload,放到dvwa的xss模块执。
XSS数据接收网站——XSS在线平台
p36273的博客
06-17 6240
平台的网址是:链接:XSS在线平台
XSS 蓝莲花-数据接收平台_pikachu靶场
2301_81238641的博客
06-10 546
BlueLotus_XSSReceiver-master.zip 解压到phpstudy_pro 的WWW目录下,我建议改一下文件名,短一些方便登录。网盘链接:https://pan.baidu.com/s/1a3HO1avUNF5BhowZzTfVfQ?如果没有修改文件名的话就输入完整的 127.0.0.1/BlueLotus_XSSReceiver-master。可以复制src链接到网页中查看是否生成成功了,像这样子就是生成成功了的。我就添加个0改为200了,然后再在输入框输入js代码。
免费蓝莲花Bluelotus,XSS工具网安
08-14
【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】...
win7 下搭建 xss蓝莲花 bluelotus平台
qq_25554351的博客
03-18 1256
搭建环境 win7 、phpstudy、DVWA 参考https://mp.csdn.net/editor/html/114966581 下载蓝莲花
存储型xss环境部署及BlueLotus_XSSReceiver的使用
qq_45970858的博客
04-25 736
下载好bxqtee-BlueLotus_XSSReceiver-master.zip,将其放置在phpstudy中www的目录下,并将其解压 打开phpstudy,创建网站 复制密码,点击提交 安装成功,点击登录 粘贴密码登录
kali系统搭建BlueLotus_XSSReceiver-master
weixin_41687259的博客
05-01 1687
kali系统搭建BlueLotus_XSSReceiver-master, xss数据存储路径不可写提示问题解决。
蓝莲花
Tao of programmer
10-28 552
没有什么能够阻挡你对自由的向往天马行空的生涯你的心了无牵挂穿过幽暗的岁月也曾感到彷徨当你低头地瞬间才发觉脚下的路心中那自由地世界如此的清澈高远盛开着永不凋零蓝莲花蓝莲花,开与绝壁悬崖,置之死地而后生.一生纵无人欣赏,依然绽放.我不爱看电影,一部电影2个小时,坐到那里,去看一个目的是赚取票房收入的东西,怎么感觉都是蛮奇怪.不看是不看,但是看过的,大部分都几乎都记住了,情节,台词,主人翁的表情.呵呵,...
从零开始搭建轻量级个人XSS平台(BlueLotus_XSSReceiver-master蓝莲花)
weixin_50464560的博客
03-31 6655
一、 前言 决定搭建XSS平台是因为自己想深入学习一下XSS相关的知识,多多进行实践,上网搜索了一下XSS平台有很多,但是总觉得不是很安全,这个毕竟敏感信息要传输到陌生人的服务器上,而且服务器端测试代码存在不可控性,所以决定自行搭建XSS平台做学习之用。在搭建完成后和我的导师徐松进行了交流,发现这款XSS平台除了在GitHub上有作者专业化的说明外,在网上没有任何关于这款XSS平台搭建...
轻量级个人XSS平台(BlueLotus_XSSReceiver-master蓝莲花)
DMXA的博客
11-01 868
该源码是由清华大学蓝莲花战队的firesun编写,安装方便,功能强大
蓝莲花xss平台打不开
07-28
很抱歉听到蓝莲花XSS平台无法打开的问题。作为一个AI助手,我无法直接访问特定的网站或平台。通常,如果一个网站无法打开,可能有以下几个原因: 1. 网络连接问题:请确保您的网络连接正常,并尝试刷新页面或使用其他网络连接方式。 2. 平台维护或故障:有可能蓝莲花XSS平台正在进行维护,或者出现了技术故障。您可以稍后再尝试访问,或者联系平台的技术支持团队获取更多信息。 3. 地域限制:某些网站或平台可能在特定地区进行限制访问。***
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值