前言:
该文章仅用于信息网络安全防御技术学习,请勿用于其他用途!
该文章为纯技术分享,严禁利用本文章所提到的技术进行非法攻击!
下载地址:https://github.com/firesunCN/BlueLotus_XSSReceiver
该源码是由清华大学蓝莲花战队的firesun编写,安装方便,功能强大
1、配置小皮面板,直接在local host中添加重启服务即可
2、浏览器访问local host,页面出现欢迎页面,点击安装按钮
3、跳转到配置页面,更改后台登录密码123456(改不改都行),其他的默认即可
4、点击提交按钮,提示安装成功,点击登录按钮,跳转到登录页面,输入密码点击登录
5、进入平台主页面---选择我的JS模块
6、创建一个恶意JS,文件名自己随便起一个,模板我这里选择一个default,然后点击插入模板
7、下面可以看到代码已经在输出出来了,点击格式化可以更清晰的去读,也可以加上中文注释
8、首先这里自己准备的受害者客户端要能正常访问攻击者客户端
9、更换IP之后,点击下面新增按钮
10、选择生成payload,更改local host为IP地址
11、在留言板内输入生成的payload,然后submit可以看到恶意JS代码已经被我们注入进去了
12、回到控制平台查看,看到cookie已经被带了出来
然后把cookie复制出来,粘贴到攻击者的客户端,就可以完成后台登录的操作了