★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
1、前言
前面两篇《XSS另类攻击(一)在线平台监控Cookie》、《XSS另类攻击(二)表单劫持-获取账号信息》提到XSS接收平台,有在线、开源自建和自己编码3种方式,实际使用过程中按需而定。
2、BlueLotus搭建
蓝莲花项目地址:https://github.com/firesunCN/BlueLotus_XSSReceiver/tree/master
下载源码到本地,复制压缩包到虚拟机的小皮安装目录下的WWW,解压并重命名为bluelotus-test.com, 小皮启动Apache和MySQL服务,在网站Tab点击创建网站按钮添加一个网站配置,域名为bluelotus-test.com其他都为默认值。
如果想在自己本机可以访问到,配置host映射即可。host文件地址:C:\Windows\System32\drivers\etc,在host文件添加
# 192.168.242.5 是虚拟机的ip地址
192.168.242.5 bluelotus-test.com
浏览器访问bluelotus-test.com,首次访问会自动跳转到安装页http://bluelotus-test.com/install.php
后台登录密码默认:bluelotus,可修改为方便记忆的密码。其他配置项目按默认值配置,点提交就安装成功了,点登录按钮到登录页输入密码进入后台。
3、BlueLotus使用
登录成功后,可以看到左侧有5个模块,主要关注以下3个模块:
公共模板: 配置JS模板,如果默认已有模板不符合要求,可以自己添加编码实现。
我的JS: 生成XSS植入代码的地方,和在线平台的我的项目是一样的意思。
接收面板: 把XSS植入代码放到目标处后,页面访问后,查看获取到的信息记录。
3.1、自定义我的JS代码
以获取cookie数据的模板default为例,代码里面需要自己手动配置website值,就是自己部署XSS接收平台服务地址,注意:这个值不是目标收集的网址值。 这个很好理解,XSS平台生成的payload是要放到目标收集网页D的,XSS平台需要与D通信,才能串联起来,所以需要配置XSS平台服务地址。
3.2、靶场实验
以pikachu靶场的存储型XSS为例,在留言板的输入框填写,生成的payload值,然后点提交。
存储型XSS页面只要每次访问时,BlueLotus都能接收到数据,如果没有刷新网页,在谷歌浏览器可以看到右下角有一个消息提示弹层,访问几次,就显示小标数字几。
点右下角的消息可查看最新列表数据,或刷新网址查看最新数据。如果直接点菜单【接收面板】数据会没有刷新,应该是前端框架做缓存处理造成的。
其他JS模板使用时,再看代码确认。
3.3、优缺点
优点: 代码开源,自己部署,灵活更强,而且每次请求都会记录,有站内消息提醒,比在线平台更好、合理。
缺点: 由于是自己部署,如果需要公网使用的情况,需要花钱购买服务器来部署。
4、我的公众号
敬请关注我的公众号:大象只为你,持续更新网安相关知识中…
284
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
