A-A+

【升级版】最新特别完善版XSS平台源代码

2016年09月24日 11:24 学习笔记 评论 61 条 共8099字 (阅读71,608 views次)

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

程序说明:程序基于xsser.me修改,,,程序框架:oldcms。下载地址在最下方,建议先阅读一下,下面的内容。

程序涵盖近40个模块。。。其中有些模块这里必须做一下介绍!!!以免这么不错的工具你都给遗忘了。
对于本程序任何有关问题请移步至:https://woj.app/3177.html 查看或者提问。
这里首先要恭喜一下,本人发布的这个完善版本XSS平台下载量已经突破1000。使用量估计在1300+ (只是通过流量统计还有土司论坛、百度搜索关键词等统计的,请勿做非法测试,24小时内请自主删除,目的,致力于让自己写的程序更安全。)  

本人郑重声明,程序只在土司论坛还有本博客发布过,其他任何论坛等地方都为转载,如有任何问题与本人无关!!!

下载地址在最下方,建议先阅读一下,下面的内容。

 

 

-------↓↓↓↓下面所有修复信息只是本人记录使用,下面修复后的版本并未提供下载↓↓↓↓-------

--------------------2021-07-24[功能增加]-----------------------------

真的不想在管理这个破程序了,都想用Python重写了。

一、修复最新chrome登录重写问题,最新的chrome对cookie更严格了

二、新增跨系统email发信调用API接口

--------------------2020-08-20[功能增加]-----------------------------

因本人空间不支持发送Email通知,所以增加了几个功能。

一、增加了‘方糖’接口,可以填写你获取到的sckey,如果获取到最新XSS可以随时通过'方糖公众号'进行消息推送;

二、增加XSS平台个人专用公众号,并支持平台与公众号绑定,绑定后可通过公众号随时进行XSS平台查询等操作,超级方便!!!

--------------------2020-05-01[修复漏洞]-----------------------------

一、此问题仅仅只出现在自用XSS平台版本中,本人公布的没有任何问题,自用的平台出现了严重的漏洞,现已修复。

--------------------2019-11-25[修复BUG]-----------------------------

一、修复“超强默认模块”的截图功能,网页截图数据太大导致服务端接收错误,通过治标的方法,如果太大只获取部分页面图片,更多的就放弃了。

--------------------2018-08-22[修复BUG]-----------------------------

一、更新了图片的展示方式。(默认打到对方当前页面的截图展示方式更人性,其实这个问题早都知道,因为各种原因吧,才修复。)

二、优化了一些功能。

--------------------2018-07-04[修复BUG]-----------------------------

一、解决部分网站加载XSS code出现“CAUTION: Provisional headers are shown”问题。

--------------------2018-06-19[修复BUG]-----------------------------

一、原来XSS平台与博客是一体,现在彻底分离开来。(XSS平台与博客为不同个体)

二、修复无法创建模块的BUG。

--------------------2018-05-23[修复漏洞,增加功能]-----------------------------

一、自测发现XSS平台有XSS漏洞。(仅是自己这个版本有问题,公布的版本无这个问题,因两次编码转换导致的此问题)。

二、优化完善代码。

三、新增插件:图片XSS模块二

四、新增XSS爬虫模块,神器。(当对方中招后,程序自动爬去当前页面所有链接,获取对应链接的html源码回传至平台。两种可以实现,暂时平台采用第一种,JS脚本实现,弊端容易被管理员发现,好处内外网通杀。第二种,XSS平台携带cookie访问,好处隐蔽性强,弊端是内网就没辙,同时会对XSS平台服务器造成压力。) 详细说明:https://woj.app/3431.html

--------------------2017-12-04[修复BUG]-----------------------------
一、平台增加Email发信API,可以通过外部网络发送Email。
二、升级平台,XSS平台程序无错支持最新PHP7.1版本。

----------------2017-08-05[flash获取cookie功能修复]----------------------------
修复了swf文件获取cookie的问题,使用post方式。(get方式无法获取太长的数据)

-----------------2017-08-05[功能升级]--------------------------------

更新完善XSS平台默认获取XSS模块。新增获取当前屏幕截图,直接保存图片至平台。现在默认模块已经可以做到以下几点:

一、获取当前URL地址。

二、获取来路URL地址。

三、获取cookie数据。

四、获取当前网页编码。

五、获取对方操作系统。

六、获取对方屏幕分辨率。

七、获取网页页面截图。

八、获取对方网页源代码。

九、获取对方浏览器信息。

十、获取对方IP及地理位置信息。
--------2017-08-04[重大更新]----------------

一、修复2处BUG,其中一处为重大BUG(也可能是我环境导致的,php5.6),非安全问题只是Bug。

二、统一XSS平台源码编码方式,全部为UTF-8

三、统一测试XSS平台所有模块,90%无误。

四、完善XSS平台部分模块功能。

五、增加新插件【新表单(登陆)劫持插件】,可劫持整个页面所有input选项标签。非常实用,亲测无误。如下图:

新表单(登陆)劫持插件

------------------------2017-07-06[功能升级]----------------------------------------------------

修复导出(下载)平台记录为excel文件功能。(这个功能有问题了都没人告诉~~哎这个功能不常用,但是暂时还是保留吧)
------------------------2017-06-30[功能升级]----------------------------------------------------

修复多个BUG:
新增插件:后台(内网)打穿神器→xss蠕虫
去掉无用的浏览器插件获取,改为获取对方当前页面html源码。
新增HTTPS,现在平台http与https都可通用。(本来想发一个XSS平台的截图,想想还是算了。)
------------------------2017-05-15[功能升级]----------------------------------------------------

修复BUG:

一、获取手机访问的cookie无法入库。
------------------------2017-05-18[功能升级]----------------------------------------------------

功能升级:

一、更改获取cookie默认模块,完善模块功能,完善获取信息。。

------------------------2017-05-12[功能升级]----------------------------------------------------

功能升级:

一、修复html截屏插件,已彻底完善。可对对方网页进行截屏。

二、修复数据小bug

------------------------2017-05-09[功能升级]----------------------------------------------------

功能升级:

一、增加持久XSS功能,说明地址:https://woj.app/1907.html

二、修复一些其它小BUG问题。

------------------------2017-04-14[功能升级]----------------------------------------------------

功能升级:

一、增加项目所有cookie导出excle,方便用户备份所有数据到本地,然后清空平台数据。

------------------------2017-04-13[功能升级]----------------------------------------------------

一、增加密码找回功能,输入用户名及当时注册的邮箱就可以找回账号密码,一天可以找回3次。

二、增加"URL跳转 (地址栏不变)"插件,具体请看:https://woj.app/1820.html

------------------------2017-03-20[功能升级]----------------------------------------------------

一、增加插件:form表单劫持(通用明文记录)

此功能可以劫持登陆、注册等提交数据的form表单,简单实用专业打账号密码用呦。在劫持表单的同时还会劫持当前的cookie。同时也修复此插件cookie劫持获取不全的问题。使用方法(https://woj.app/1684.html) 百度有这个模块

------------------------2017-03-03[功能升级 - 此升级版本暂未放出  仅自己平台使用中]--------------------

一、修复域名处分页BUG。

二、新增【图片探测】功能。

图片探测功能讲解:你在渗透过程中是否遇到过这种状况,已经得知对方网址的后台账号和密码,但是各种找不到后台? (或者说对方网站存在注入,你却因为找不到后台无法提权?)对方网站还不存在XSS,你就算暴力破解也无从下手?那么你需要试试此平台的最新功能,【图片探测】,只需要想尽办法让对方能看到你的图片即可。或者说加载图片即可<img src="https://woj.app/xxx/xxx.jpg" /> ,现在很多网站都已经做足了过滤XSS的措施,那么试试最新的图片探测功能吧,相信它会给你,你想要的惊喜。(成功率70%+)  使用方法(https://www.t00ls.net/thread-38560-1-2.html 或者 https://woj.app/1785.html)  就是想尽办法让对方加载你的图片。https://www.t00ls.net/thread-38560-2-1.html 12楼已经说明发放及原理。

废话不多,先看图测试的可是某SRC平台(探测到了对方的后台地址及一些信息):

 

在看看XSS平台代码处(只需要在[查看源码]处,即可查看到对应项目的代码):

------↑↑↑↑上面所有修复信息只是本人记录使用,上面修复后的版本并未提供下载↑↑↑↑-------

 

 

 

---------------------------【模块功能介绍】放出的版本涵盖下面介绍的功能----------------------------

【一】、社工模块(实际不叫社工模块,只不过后期会更完善暂时这么叫)

很多程序开发以为后台验证了cookie,就算XSS代码进入后台,获得了cookie也无法使用登录后台!!!还有些朋友直接把cookie设置成httponly,你真以为这样就算完事了???来,看下图:::(此处不解释)

xss社工模块

xss社工模块

试想,如果我获取到了你的,淘宝账号,淘宝名称,新浪邮箱,网易邮箱,QQ号码,微博ID,百度账号,百度名称等等。如果这些数据通过社工加以深度利用,请问后果是怎么样的???(某黑产朋友跟我说现在网上已经可以通过QQ查手机号[需要付费],通过QQ查真实姓名[个人估测这个应该是通过QQ群关系实现的])。。。如果一个XSS平台集成了这个功能,我不光获取你当前cookie我还能收集你这些数据。。。。。。剩下的同志,麻烦你自己发挥想象!这个模块告诉我们,我并不一定需要你的cookie。很多大型公司内网就是这么沦陷的!

 

【二】、xss+csrf+redis自动化入侵内网 (模块作者土司UID: 7272)

获取内网IP

获取内网IP

如果通过某些方法知道你的内网IP,利用这个XSS模块,直接自动化打你整个内网段。直接反弹shell (我不需要用你的cookie直接打你的内网,直接shell可以么。)

里面还有很多实用的模块【键盘记录】、【源码获取】、【CSRF模块】等等,请你不要小看这些模块的威力好么,如果连起来用的话(近40个模块,不怕你做不到,真怕你想不到)。。。

--------------下面说说程序完善及增加了哪些功能-------------

【一】、增加分页功能

xss平台分页功能

xss平台分页功能

相信大家都知道,点进项目里面,有多少条信息,就显示多少条信息,这里有2000多条信息,它就一个页面显示2000多条信息,分分钟卡爆了,页面巨卡{仁兄,你想点展开?你试试吧,页面都能卡处屎来。}。完善后如下图:

xss平台列表分页功能

xss平台列表分页功能

【二】增加个人用户可修改用户email,可修改密码,可见发邮件服务器及邮箱

xss平台完善个人设置功能

xss平台完善个人设置功能

【三】、增加可对某个XSS项目进行屏蔽

(增加此功能的主要原因,例如某个代码XSS到了前台,结果前台页面流量很大,很多无用的垃圾XSS全都入库了,可以在此设置过滤无用的不接收,不入库。这样就只会接受可能与管理相关有用的了。注意,只是不入库,而且只针对用户自己)

xss平台个人屏蔽功能

xss平台个人屏蔽功能

【四】、完善创建模块处代码入库会被编码问题

(网上大大小小的平台,我测试了10个之多,最少有80%都存在问题,因为平台本身就为了防止注入,或者XSS。。。模块入库,因为入库的时候编码导致的错误。这里不截图了。)

【五】、完善获取IP,IP地理位置功能

xss平台IP获取功能

xss平台IP获取功能

【六】、增加超级管理后台增加多email随机发信功能

xss平台随机启用邮箱发信功能

xss平台随机启用邮箱发信功能

【七】、超级管理后台全局管控功能

xss平台全局管控功能

xss平台全局管控功能

主要是为了防止不小心插到政附等机关网站,如果检测到域名和与特征字符一致,则不加载xss code,与上面的不一样哦,此设定跟前台设定不一样,为整站设定重点是不加载xss code代码,(前台的黑名单功能只针对用户自己和自己的固定的项目,而且并非不加载,只是不入库。)。仔细看图中的说明。

--------------------感谢土司论坛ID:uncia  土司论坛ID:52python  贡献及分享的模块----------------

xss模块列表一

xss模块列表一

xss模块列表二

xss模块列表二

 


 

程序源码在土司平台首发(为了充分发挥人民币玩家,与普通玩家的巨大差别。现将程序模块不设置权限,放出。除了基本的源码和3个基本的接受cookies的模块,别无其他!!!如果想要非常完善多功能模块的平台,请您做一位人民币玩家,去土司花积分下载。。千万别骂我,直接打我就好了。。。)。

----------------只要您下载的XSS平台源码与下诉值不同,那绝对非本人提供的无后门源码---------------------

 

文件哈希值(含模块土司收费版本):

CRC-32 39514afe
MD5 Hash 0160c042d5a6b85da1af68bb36cd4a59
SHA1 Hash 34402361a8337fd986d375eb0472ccde75074011
SHA256 Hash 9e52a5ecfc18dce6d5bcfd7dd91a0f00a589de4eceb830ee52faee9c95195d06
SHA3-256 Hash b2f5f0fb53f107a1429078780a4c31c729c048cc0570b5c66c970a6e4a56222a

收费版下载地址:https://www.t00ls.net/thread-35990-1-1.html

 

 

文件哈希值(免费不含模块免费版本):

CRC-32 1a0a0e52
MD5 Hash 28ad542c231e9c330851ce8945bd92a3
SHA1 Hash 72d6704fbbee55edad2633f892fea5243cf6b3db
SHA256 Hash b05fe0eb6cdc6ef7e155bd0c84c1fe3dbde1208e3e67abe89879b13c59fff022
SHA3-256 Hash 79985130004913235c6664bd21973d30f39fc87f071cb773ed6dc41976ff7390

 
 
免费版(含默认模块)github地址:https://github.com/sysalong/xss_pt 无任何密码,直接可用

如果你的XSS平台安装及使用过程中遇到困难,建议查看:各种XSS平台问题锦集 https://woj.app/3177.html

----------------只要您下载的XSS平台源码与上诉值不同,那绝对非本人提供的无后门源码---------------------

 

在线验证文件哈希值:http://www.atool.org/file_hash.php

收费版本与免费版本区别:::免费版本只含3个基本模块接受cookie,收费版本具有近40个模块,可供学习和使用!

若无法收取邮件,请考虑您的PHP.ini 是否开启  extension=php_sockets.dll

默认应该是不会发送邮件,请个人设置中开启发送邮件即可。

 

 

本人土司论坛地址:https://www.t00ls.net/members-profile-7520.html

布施恩德可便相知重

微信扫一扫打赏

支付宝扫一扫打赏

×

61 条留言  访客:61 条  博主:0 条

  1. X

    😛 滋词

  2. 请问

    你好,我买的土司的附件,但是下载安装所有模板后,没有发现图片获取后台地址那个模板呀?我最喜欢的还是这个模板,请问这是我哪里做的不对吗?

    • 虾米

      2017-03-03[功能升级 – 此升级版本暂未放出 仅自己平台使用中]

      你可能没看到吧???

      也就是说图片的功能暂时不对外漏出。

    • test

      这样啊哪里能有

  3. 请问

    我非常喜欢这个功能,可以给我一个注册邀请码吗?拜托你了!

    • 虾米

      其实不准备对外的,但是你刚才也说你土司的了, 算了当交个朋友送你一个。 正常只是我和土司一起玩的朋友用的。
      5dd03b189a6f77687e16f4e2367adf8d

  4. XXX

    表哥最新的能不能来一份

    • gdd

      最新XSS平台源码暂时不外发,邀请码也只给朋友或者t00ls 土司内部的哥们使用,外面的朋友暂时不会给邀请码。

  5. 张也变

    你好 我想成为人民币玩家 但是没有邀请码能给我一个吗?

    • gdd

      不好意思才看到你的留言,如果你是土司论坛的注册级别会员,你可以私信:shrimp ,然后会给你邀请码滴。

  6. sanmichang

    您好,我是一名运维开发人员,很喜欢研究web安全的东西 能送一个t00LS的注册码?

    • gdd

      不好意思,土司邀请码我给不了,不是我吝啬,如果我邀请你,你做出什么违规的事情,我同样承担责任。你可以通过途牛SEC或者腾讯SEC或者补天提交一个漏洞,然后用积分换取邀请码,或者对土司投稿换取。。

  7. B4tsc4r

    请问下,修复BUG的版本是没公开吗?土司下载的全模块版本是之前刚公布的版本?

    • gdd

      你好,我对外公布的版本是2017-03-03之前的版本,之后的我从未在网上公布,暂时还没有公布的想法,后期可能会考虑,暂时只是自用。

  8. SSS安全团队嘉宾

    给我弄个土司邀请码吧,多交流技术

    • gdd

      不好意思,土司邀请码我给不了,不是我吝啬,如果我邀请你,你做出什么违规的事情,我同样承担责任。你可以通过途牛SEC或者腾讯SEC或者补天提交一个漏洞,然后用积分换取邀请码,或者对土司投稿换取。。。。

      • SSS安全团队嘉宾

        我不搞坏事啊,我只是进去看文章,学习
        给个机会,给下爱好者吧

  9. 123

    你好,请问免费版解压密码多少?

  10. tea123

    你好,我是做开发的,想学习一些安全方面的知识。除了吐司,还有其他方式成为人民币玩家吗。现在吐司好像不支持投稿。上面网址是给别人搭建的网站。

  11. 影风

    师傅,我又来了。真的不错哈,

  12. F0rg3t

    土司在注册会员私信就可以邀请码吗

    • gdd

      不好意思,现在土司私信不会给邀请码了,需要付费。具体详情可以土司私信或者Email:gdd@gdd.gd

给我留言