概述
BlueLotus是清华大学蓝莲花战队所写的xss测试平台,XSS测试平台是测试XSS漏洞获取cookie并接收Web⻚⾯的平台,XSS可以做JS能做的所有事,包括但不 限于窃取cookie、后台增删改⽂章、钓⻥、利⽤XSS漏洞进⾏传播、修改⽹⻚代码、⽹站重定向、获取⽤ 户信息等。
该平台后端语⾔是PHP,⽆sql版,所以 想要使⽤该平台需要要php的环境。而且需要搭建在自己的云服务器上。
地址:https://github.com/trysec/BlueLotus_XSSReceiver
安装
将源码放到⽹站的WEB⽬录下⾯,⽐如我这⾥是将源码放在了根⽬录下,然后访问该⽹站即可进⾏安装。
1.解压后放置于web根目录下
2.访问
3.点击安装,修改后台登陆密码,点击提交
4.安装成功
简单使用
1.创建cooke.js
将⽂件内的“⽹站地址”修改为⾃⼰的“⽹站地址+index.php”,之后点击新增,就可以在我的JS⾥看到刚 刚新建的模板。
2.生成payload
3.利用payload
将这个payload 插⼊到存在xss漏洞可以插⼊标签的地⽅
4.接收cookie
当受害者访问插⼊了xss代码的地⽅即 可触发漏洞,将受害者的cookie发送到该平台的“接收⾯板”⾥。