利用蓝莲花BlueLotus通过XSS获取Cookie

于 2024-07-23 23:16:17 发布
阅读量186 收藏 1
点赞数 9
文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74761057/article/details/140648633
版权

蓝莲花

BlueLotus_XSSReceiver清华大学蓝莲花战队做的一个平台,优点是足够小,不需要数据库,只要有个能运行php的环境就可以了,缺点是一般只适合一个人用。

配置蓝莲花

  1. 拉取docker
docker pull romeoz/docker-apache-php:5.6

image.png

  1. 上传文件

文件下载地址:https://github.com/trysec/BlueLotus_XSSReceiver
解压

unzip -d /opt/bluelotus bluelotus.zip

image.png

  1. 将文件放入容器中
docker run -d -p 9999:80 -v /opt/bluelotus:/var/www/app romeoz/docker-apache-php:5.6

image.png
返回结果为容器名
验证是否成功
image.png

可以看到内容,成功

  1. 修改配置

切换到bluelotus路径下,分别输入下面三行代码执行

mv config-sample.php config.php
chmod 777 myjs
chmod 777 data

image.png

  1. 物理机访问
http://192.168.174.130:9999/login.php

这里的ip为蓝莲花所在的ip(kali的ip)

密码为默认bluelotus

image.png
新增js

使用蓝莲花

生成payload,将payload插入存在xss的地方
image.png
插入dvwa靶场的xss存储型处
image.png

这里需要更改一下输入框的限制长度
在这里插入图片描述

受害者浏览被插入代码的网页,浏览器就会将受害者的cookie发送给攻击者的蓝莲花平台
image.png
复制之后得到cookie
image.png
PHPSESSID%253Dd4nmvlu0tp5g5q5t9l24f7ni4p

内容需要进行两次URL解码

PHPSESSID=d4nmvlu0tp5g5q5t9l24f7ni4p

反射型需要将url发送给受害者即可

Hhhan^Xu_
关注
  • 9
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
win7 下搭建 xss蓝莲花 bluelotus)平台
qq_25554351的博客
03-18 1234
搭建环境 win7 、phpstudy、DVWA 参考https://mp.csdn.net/editor/html/114966581 下载蓝莲花
免费蓝莲花Bluelotus,XSS工具网安
08-14
【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】...
XSS数据接收平台——蓝莲花BlueLotus
p36273的博客
06-17 5886
蓝莲花平台是清华大学曾经的蓝莲花战队搭建的平台,该平台用于接收xss返回数据。用xss数据接收平台的好处:正常执行反射型xss和存储型xss,反射型xss在执行poc时,会直接在页面弹出执行注入的poc代码;存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;而使用这种数据接收平台,在用户页面就不会再弹出这个窗口,但在数据接收平台还是可以获取到用户的cookie,以免被用户发觉。
XSS另类攻击(三)自建XSS接收平台BlueLotus
05-22 590
XSS另类攻击(三)自建XSS接收开源平台BlueLotus,有搭建说明、使用说明和注意事项,以及优缺点。
利用XSS漏洞打cookie
qq_68163788的博客
01-15 1724
XSS漏洞是一种跨站脚本攻击,攻击者可以在受害者的浏览器中注入恶意脚本,从而获取用户的敏感信息,如cookie。 当受害者访问包含恶意脚本的页面时,恶意脚本会获取受害者的cookie信息,并将其发送到攻击者的服务器。攻击者可以利用这些cookie信息来冒充受害者进行各种操作,比如登录受害者的账户。为了防止XSS漏洞,网站开发者应该对用户输入进行严格的过滤和验证,避免将未经验证的用户输入直接输出到页面上。另外,网站可以使用XSS防护工具或者采用安全的编程实践来防止XSS漏洞的发生。
XSS平台bxss源码
03-17
XSS(Cross Site Scripting)是一种常见的网络攻击方式,通过注入恶意脚本到网页中,攻击者能够窃取用户的敏感信息,如登录凭据、会话cookie等。XSS平台是专门用于测试和研究XSS漏洞的安全工具,而"bxss源码"则可能...
XSS搭建教程以及源码
05-05
攻击者可以利用JavaScript读取或修改DOM中的数据,进而影响用户界面和数据。 二、XSS攻击的危害 XSS攻击可能导致以下危害: - 窃取用户会话cookie,实现会话劫持,冒充用户身份。 - 弹出恶意广告,影响用户体验。 ...
蓝天花战队工具
01-22
ctf蓝莲花战队XSS平台可以辅助安全测试人员对XSS相关的漏洞危害进行...包括但不限于:窃取Cookie、后台增删改文章、钓鱼、利用XSS漏洞进行传播、修改网页代码、网站重定向、获取用户信息(如浏览器信息,IP地址等)等。
2015年高中语文优秀作文蓝莲花素材
08-06
这篇资料虽然名为“2015年高中语文优秀作文蓝莲花素材”,但实际上它是一段充满诗意和哲理的文字,而非传统的IT知识。然而,我们可以从中提取一些与个人成长、内心世界和人生追求相关的主题,这些主题在信息技术领域...
CSRF+XSS组合攻击实战
记录学习
07-19 1298
xss和csrf组合攻击漏洞复现
DVWA靶场超(详细教程)--跨站攻击(XSS+CSRF)
weixin_60838266的博客
07-19 1109
webanquan”去掉了(替换为空),我们的输入从alert变成了alert()
【WAF剖析】10种XSS某狗waf绕过姿势,以及思路分析
xt350488的博客
07-22 915
xss基础教程参考:https://mp.weixin.qq.com/s/RJcOZuscU07BEPgK89LSrQsql注入waf绕过文章参考: https://mp.weixin.qq.com/s/Dhtc-8I2lBp95cqSwr0YQw。
磁力链磁力链磁力链.txt
最新发布
07-22
磁力链
“人力资源+大数据+薪酬报告+涨薪调薪”
07-22
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
安装graphviz和pygraphviz
07-22
pygraphviz 是一个Python库,它是Graphviz图形可视化软件的Python接口。Graphviz是一个开源的图形可视化软件,广泛用于创建和编辑有向图和无向图。pygraphviz使得Python开发者能够轻松地创建和操作图形,以及执行图形的布局和可视化。 一、pygraphviz的主要功能 创建和编辑图形:pygraphviz允许开发者通过Python代码来创建图形,包括添加节点、边等元素,并且可以编辑这些元素的属性,如颜色、形状、标签等。 图形布局:pygraphviz支持多种图形布局算法,如dot、neato、circo等,开发者可以根据需要选择合适的算法来优化图形的布局。 图形可视化:pygraphviz可以将创建和编辑好的图形保存为图片文件,支持多种图片格式,如PNG、JPEG等,方便开发者进行展示和分享。
BrainF**k Devlopment Toolkit
07-22
BrainF**k Devlopment Toolkit(BFDTK),可用于开发BrainF**k程序。
基于UC3875控制的大功率全桥开关电源设计(提供原理图、PCB图)
07-22
基于UC3875控制的大功率全桥开关电源设计(提供原理图、PCB图) 1、使用UC3875为控制芯片; 2、NCP1253为辅助电源设计,输出12V,给控制芯片供电; 3、UC3845做BOOST升压控制,实现市电整流升压到400V; 4、全桥拓扑设计结构; 5、后级输出同步整流设计; 6、过压硬件保护电路; 7、过流硬件保护电路; 8、提供原理图、PCB图;
毕业设计javajsp大学兼职信息网sqlserver-qp源码含文档工具包
07-22
毕业设计javajsp大学兼职信息网sqlserver-qp源码含文档工具包 页面是jsp,数据库sqlserver,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 (1)网站前台功能: A、信息搜索功能(分类检索) B、用户登录、注册 C、查看发布兼职信息 D、预定兼职 E、个人简历的编辑(也可以上传自己制作的简历) F、用户投诉 G、留言版 H、新闻公告(职场资讯) I、职场攻略(包含面试技巧以及简历指导) (2)管理员后台功能: A、用户信息管理
蓝莲花xss平台打不开
07-28
很抱歉听到蓝莲花XSS平台无法打开的问题。作为一个AI助手,我无法直接访问特定的网站或平台。通常,如果一个网站无法打开,可能有以下几个原因: 1. 网络连接问题:请确保您的网络连接正常,并尝试刷新页面或使用其他网络连接方式。 2. 平台维护或故障:有可能蓝莲花XSS平台正在进行维护,或者出现了技术故障。您可以稍后再尝试访问,或者联系平台的技术支持团队获取更多信息。 3. 地域限制:某些网站或平台可能在特定地区进行限制访问。***
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值