【升级版】最新特别完善版XSS平台源代码
【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】
程序说明:程序基于xsser.me修改,,,程序框架:oldcms。下载地址在最下方,建议先阅读一下,下面的内容。
程序涵盖近40个模块。。。其中有些模块这里必须做一下介绍!!!以免这么不错的工具你都给遗忘了。
对于本程序任何有关问题请移步至:https://woj.app/3177.html 查看或者提问。
这里首先要恭喜一下,本人发布的这个完善版本XSS平台下载量已经突破1000。使用量估计在1300+ (只是通过流量统计还有土司论坛、百度搜索关键词等统计的,请勿做非法测试,24小时内请自主删除,目的,致力于让自己写的程序更安全。)
本人郑重声明,程序只在土司论坛还有本博客发布过,其他任何论坛等地方都为转载,如有任何问题与本人无关!!!
下载地址在最下方,建议先阅读一下,下面的内容。
-------↓↓↓↓下面所有修复信息只是本人记录使用,下面修复后的版本并未提供下载↓↓↓↓-------
--------------------2021-07-24[功能增加]-----------------------------
真的不想在管理这个破程序了,都想用Python重写了。
一、修复最新chrome登录重写问题,最新的chrome对cookie更严格了
二、新增跨系统email发信调用API接口
--------------------2020-08-20[功能增加]-----------------------------
因本人空间不支持发送Email通知,所以增加了几个功能。
一、增加了‘方糖’接口,可以填写你获取到的sckey,如果获取到最新XSS可以随时通过'方糖公众号'进行消息推送;
二、增加XSS平台个人专用公众号,并支持平台与公众号绑定,绑定后可通过公众号随时进行XSS平台查询等操作,超级方便!!!
--------------------2020-05-01[修复漏洞]-----------------------------
一、此问题仅仅只出现在自用XSS平台版本中,本人公布的没有任何问题,自用的平台出现了严重的漏洞,现已修复。
--------------------2019-11-25[修复BUG]-----------------------------
一、修复“超强默认模块”的截图功能,网页截图数据太大导致服务端接收错误,通过治标的方法,如果太大只获取部分页面图片,更多的就放弃了。
--------------------2018-08-22[修复BUG]-----------------------------
一、更新了图片的展示方式。(默认打到对方当前页面的截图展示方式更人性,其实这个问题早都知道,因为各种原因吧,才修复。)
二、优化了一些功能。
--------------------2018-07-04[修复BUG]-----------------------------
一、解决部分网站加载XSS code出现“CAUTION: Provisional headers are shown”问题。
--------------------2018-06-19[修复BUG]-----------------------------
一、原来XSS平台与博客是一体,现在彻底分离开来。(XSS平台与博客为不同个体)
二、修复无法创建模块的BUG。
--------------------2018-05-23[修复漏洞,增加功能]-----------------------------
一、自测发现XSS平台有XSS漏洞。(仅是自己这个版本有问题,公布的版本无这个问题,因两次编码转换导致的此问题)。
二、优化完善代码。
三、新增插件:图片XSS模块二
四、新增XSS爬虫模块,神器。(当对方中招后,程序自动爬去当前页面所有链接,获取对应链接的html源码回传至平台。两种可以实现,暂时平台采用第一种,JS脚本实现,弊端容易被管理员发现,好处内外网通杀。第二种,XSS平台携带cookie访问,好处隐蔽性强,弊端是内网就没辙,同时会对XSS平台服务器造成压力。) 详细说明:https://woj.app/3431.html
--------------------2017-12-04[修复BUG]-----------------------------
一、平台增加Email发信API,可以通过外部网络发送Email。
二、升级平台,XSS平台程序无错支持最新PHP7.1版本。----------------2017-08-05[flash获取cookie功能修复]----------------------------
修复了swf文件获取cookie的问题,使用post方式。(get方式无法获取太长的数据)-----------------2017-08-05[功能升级]--------------------------------
更新完善XSS平台默认获取XSS模块。新增获取当前屏幕截图,直接保存图片至平台。现在默认模块已经可以做到以下几点:
一、获取当前URL地址。
二、获取来路URL地址。
三、获取cookie数据。
四、获取当前网页编码。
五、获取对方操作系统。
六、获取对方屏幕分辨率。
七、获取网页页面截图。
八、获取对方网页源代码。
九、获取对方浏览器信息。
十、获取对方IP及地理位置信息。
--------2017-08-04[重大更新]----------------一、修复2处BUG,其中一处为重大BUG(也可能是我环境导致的,php5.6),非安全问题只是Bug。
二、统一XSS平台源码编码方式,全部为UTF-8
三、统一测试XSS平台所有模块,90%无误。
四、完善XSS平台部分模块功能。
五、增加新插件【新表单(登陆)劫持插件】,可劫持整个页面所有input选项标签。非常实用,亲测无误。如下图:
------------------------2017-07-06[功能升级]----------------------------------------------------
修复导出(下载)平台记录为excel文件功能。(这个功能有问题了都没人告诉~~哎这个功能不常用,但是暂时还是保留吧)
------------------------2017-06-30[功能升级]----------------------------------------------------修复多个BUG:
新增插件:后台(内网)打穿神器→xss蠕虫
去掉无用的浏览器插件获取,改为获取对方当前页面html源码。
新增HTTPS,现在平台http与https都可通用。(本来想发一个XSS平台的截图,想想还是算了。)
------------------------2017-05-15[功能升级]----------------------------------------------------修复BUG:
一、获取手机访问的cookie无法入库。
------------------------2017-05-18[功能升级]----------------------------------------------------功能升级:
一、更改获取cookie默认模块,完善模块功能,完善获取信息。。
------------------------2017-05-12[功能升级]----------------------------------------------------
功能升级:
一、修复html截屏插件,已彻底完善。可对对方网页进行截屏。
二、修复数据小bug
------------------------2017-05-09[功能升级]----------------------------------------------------
功能升级:
一、增加持久XSS功能,说明地址:https://woj.app/1907.html 。
二、修复一些其它小BUG问题。
------------------------2017-04-14[功能升级]----------------------------------------------------
功能升级:
一、增加项目所有cookie导出excle,方便用户备份所有数据到本地,然后清空平台数据。
------------------------2017-04-13[功能升级]----------------------------------------------------
一、增加密码找回功能,输入用户名及当时注册的邮箱就可以找回账号密码,一天可以找回3次。
二、增加"URL跳转 (地址栏不变)"插件,具体请看:https://woj.app/1820.html
------------------------2017-03-20[功能升级]----------------------------------------------------
一、增加插件:form表单劫持(通用明文记录)
此功能可以劫持登陆、注册等提交数据的form表单,简单实用专业打账号密码用呦。在劫持表单的同时还会劫持当前的cookie。同时也修复此插件cookie劫持获取不全的问题。使用方法(https://woj.app/1684.html) 百度有这个模块
------------------------2017-03-03[功能升级 - 此升级版本暂未放出 仅自己平台使用中]--------------------
一、修复域名处分页BUG。
二、新增【图片探测】功能。
图片探测功能讲解:你在渗透过程中是否遇到过这种状况,已经得知对方网址的后台账号和密码,但是各种找不到后台? (或者说对方网站存在注入,你却因为找不到后台无法提权?)对方网站还不存在XSS,你就算暴力破解也无从下手?那么你需要试试此平台的最新功能,【图片探测】,只需要想尽办法让对方能看到你的图片即可。或者说加载图片即可<img src="https://woj.app/xxx/xxx.jpg" /> ,现在很多网站都已经做足了过滤XSS的措施,那么试试最新的图片探测功能吧,相信它会给你,你想要的惊喜。(成功率70%+) 使用方法(https://www.t00ls.net/thread-38560-1-2.html 或者 https://woj.app/1785.html) 就是想尽办法让对方加载你的图片。https://www.t00ls.net/thread-38560-2-1.html 12楼已经说明发放及原理。
废话不多,先看图测试的可是某SRC平台(探测到了对方的后台地址及一些信息):
在看看XSS平台代码处(只需要在[查看源码]处,即可查看到对应项目的代码):
------↑↑↑↑上面所有修复信息只是本人记录使用,上面修复后的版本并未提供下载↑↑↑↑-------
---------------------------【模块功能介绍】放出的版本涵盖下面介绍的功能----------------------------
【一】、社工模块(实际不叫社工模块,只不过后期会更完善暂时这么叫)
很多程序开发以为后台验证了cookie,就算XSS代码进入后台,获得了cookie也无法使用登录后台!!!还有些朋友直接把cookie设置成httponly,你真以为这样就算完事了???来,看下图:::(此处不解释)
试想,如果我获取到了你的,淘宝账号,淘宝名称,新浪邮箱,网易邮箱,QQ号码,微博ID,百度账号,百度名称等等。如果这些数据通过社工加以深度利用,请问后果是怎么样的???(某黑产朋友跟我说现在网上已经可以通过QQ查手机号[需要付费],通过QQ查真实姓名[个人估测这个应该是通过QQ群关系实现的])。。。如果一个XSS平台集成了这个功能,我不光获取你当前cookie我还能收集你这些数据。。。。。。剩下的同志,麻烦你自己发挥想象!这个模块告诉我们,我并不一定需要你的cookie。很多大型公司内网就是这么沦陷的!
【二】、xss+csrf+redis自动化入侵内网 (模块作者土司UID: 7272)
如果通过某些方法知道你的内网IP,利用这个XSS模块,直接自动化打你整个内网段。直接反弹shell (我不需要用你的cookie直接打你的内网,直接shell可以么。)
里面还有很多实用的模块【键盘记录】、【源码获取】、【CSRF模块】等等,请你不要小看这些模块的威力好么,如果连起来用的话(近40个模块,不怕你做不到,真怕你想不到)。。。
--------------下面说说程序完善及增加了哪些功能-------------
【一】、增加分页功能
相信大家都知道,点进项目里面,有多少条信息,就显示多少条信息,这里有2000多条信息,它就一个页面显示2000多条信息,分分钟卡爆了,页面巨卡{仁兄,你想点展开?你试试吧,页面都能卡处屎来。}。完善后如下图:
【二】增加个人用户可修改用户email,可修改密码,可见发邮件服务器及邮箱
【三】、增加可对某个XSS项目进行屏蔽
(增加此功能的主要原因,例如某个代码XSS到了前台,结果前台页面流量很大,很多无用的垃圾XSS全都入库了,可以在此设置过滤无用的不接收,不入库。这样就只会接受可能与管理相关有用的了。注意,只是不入库,而且只针对用户自己)
【四】、完善创建模块处代码入库会被编码问题
(网上大大小小的平台,我测试了10个之多,最少有80%都存在问题,因为平台本身就为了防止注入,或者XSS。。。模块入库,因为入库的时候编码导致的错误。这里不截图了。)
【五】、完善获取IP,IP地理位置功能
【六】、增加超级管理后台增加多email随机发信功能
【七】、超级管理后台全局管控功能
主要是为了防止不小心插到政附等机关网站,如果检测到域名和与特征字符一致,则不加载xss code,与上面的不一样哦,此设定跟前台设定不一样,为整站设定重点是不加载xss code代码,(前台的黑名单功能只针对用户自己和自己的固定的项目,而且并非不加载,只是不入库。)。仔细看图中的说明。
--------------------感谢土司论坛ID:uncia 土司论坛ID:52python 贡献及分享的模块----------------
程序源码在土司平台首发(为了充分发挥人民币玩家,与普通玩家的巨大差别。现将程序模块不设置权限,放出。除了基本的源码和3个基本的接受cookies的模块,别无其他!!!如果想要非常完善多功能模块的平台,请您做一位人民币玩家,去土司花积分下载。。千万别骂我,直接打我就好了。。。)。
----------------只要您下载的XSS平台源码与下诉值不同,那绝对非本人提供的无后门源码---------------------
文件哈希值(含模块土司收费版本):
CRC-32 | 39514afe |
MD5 Hash | 0160c042d5a6b85da1af68bb36cd4a59 |
SHA1 Hash | 34402361a8337fd986d375eb0472ccde75074011 |
SHA256 Hash | 9e52a5ecfc18dce6d5bcfd7dd91a0f00a589de4eceb830ee52faee9c95195d06 |
SHA3-256 Hash | b2f5f0fb53f107a1429078780a4c31c729c048cc0570b5c66c970a6e4a56222a |
收费版下载地址:https://www.t00ls.net/thread-35990-1-1.html
文件哈希值(免费不含模块免费版本):
CRC-32 | 1a0a0e52 |
MD5 Hash | 28ad542c231e9c330851ce8945bd92a3 |
SHA1 Hash | 72d6704fbbee55edad2633f892fea5243cf6b3db |
SHA256 Hash | b05fe0eb6cdc6ef7e155bd0c84c1fe3dbde1208e3e67abe89879b13c59fff022 |
SHA3-256 Hash | 79985130004913235c6664bd21973d30f39fc87f071cb773ed6dc41976ff7390 |
免费版(含默认模块)github地址:https://github.com/sysalong/xss_pt 无任何密码,直接可用
如果你的XSS平台安装及使用过程中遇到困难,建议查看:各种XSS平台问题锦集 https://woj.app/3177.html
----------------只要您下载的XSS平台源码与上诉值不同,那绝对非本人提供的无后门源码---------------------
在线验证文件哈希值:http://www.atool.org/file_hash.php
收费版本与免费版本区别:::免费版本只含3个基本模块接受cookie,收费版本具有近40个模块,可供学习和使用!
若无法收取邮件,请考虑您的PHP.ini 是否开启 extension=php_sockets.dll
默认应该是不会发送邮件,请个人设置中开启发送邮件即可。
本人土司论坛地址:https://www.t00ls.net/members-profile-7520.html
😛 滋词
你好,我买的土司的附件,但是下载安装所有模板后,没有发现图片获取后台地址那个模板呀?我最喜欢的还是这个模板,请问这是我哪里做的不对吗?
2017-03-03[功能升级 – 此升级版本暂未放出 仅自己平台使用中]
你可能没看到吧???
也就是说图片的功能暂时不对外漏出。
这样啊哪里能有
我非常喜欢这个功能,可以给我一个注册邀请码吗?拜托你了!
其实不准备对外的,但是你刚才也说你土司的了, 算了当交个朋友送你一个。 正常只是我和土司一起玩的朋友用的。
5dd03b189a6f77687e16f4e2367adf8d
表哥最新的能不能来一份
最新XSS平台源码暂时不外发,邀请码也只给朋友或者t00ls 土司内部的哥们使用,外面的朋友暂时不会给邀请码。
你好 我想成为人民币玩家 但是没有邀请码能给我一个吗?
不好意思才看到你的留言,如果你是土司论坛的注册级别会员,你可以私信:shrimp ,然后会给你邀请码滴。
您好,我是一名运维开发人员,很喜欢研究web安全的东西 能送一个t00LS的注册码?
不好意思,土司邀请码我给不了,不是我吝啬,如果我邀请你,你做出什么违规的事情,我同样承担责任。你可以通过途牛SEC或者腾讯SEC或者补天提交一个漏洞,然后用积分换取邀请码,或者对土司投稿换取。。
请问下,修复BUG的版本是没公开吗?土司下载的全模块版本是之前刚公布的版本?
你好,我对外公布的版本是2017-03-03之前的版本,之后的我从未在网上公布,暂时还没有公布的想法,后期可能会考虑,暂时只是自用。
给我弄个土司邀请码吧,多交流技术
不好意思,土司邀请码我给不了,不是我吝啬,如果我邀请你,你做出什么违规的事情,我同样承担责任。你可以通过途牛SEC或者腾讯SEC或者补天提交一个漏洞,然后用积分换取邀请码,或者对土司投稿换取。。。。
我不搞坏事啊,我只是进去看文章,学习
给个机会,给下爱好者吧
你好,请问免费版解压密码多少?
http://www.t00ls.net
你好,我是做开发的,想学习一些安全方面的知识。除了吐司,还有其他方式成为人民币玩家吗。现在吐司好像不支持投稿。上面网址是给别人搭建的网站。
师傅,我又来了。真的不错哈,
土司在注册会员私信就可以邀请码吗
不好意思,现在土司私信不会给邀请码了,需要付费。具体详情可以土司私信或者Email:gdd@gdd.gd