A-A+
后台(内网)打穿神器→xss蠕虫

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】
首先要说一下,有这个插件是因为看了一篇文章,然后根据文章提供的dom稍作修改。
文章地址:延长 XSS 生命期 作者:EtherDream 有兴趣的朋友可以看看。本插件至少在chrome浏览器已经测试成功完全没问题。其他浏览器未测。
插件使用方法及注意事项:
首先使用这个插件必须要有一个使用【默认模块】的一个项目,注意这个项目只能使用【默认模块】不要使用其它模块配合。
然后我们来到这个使用(默认模块)项目的(查看源码)页面,如下图:
然后随便找到【另一个项目】,按图操作:
注意,这个xssurl参数填写,你刚刚复制的那个url地址,也就是上一个项目的url地址。然后确定保存。
到这里就算说明完毕。最后说一下他的威力!!!
只要对方中招了,则XSS代码会劫持当前页面的所有链接标签(<a>),只要对方点击其他链接,只要同域(同二级域名也可以),则那个没有XSS代码的页面也会被传染有XSS代码。然后那个页面的所有链接标签也会被劫持,最终他浏览哪个页面哪个页面就带XSS代码。(如果储存XSS的那个页面没有恶意代码了,则其他页面也就安然无恙了)
最后打到的cookie等数据会保存在你最开始配置的【默认模块】的那个项目里。
注意事项:
一、禁止在任何网页的前端使用此蠕虫插件(因为其传染性特别强,XSS平台会流量爆掉,导致网页打不开)。
二、禁止用于反射XSS,除非是诱导管理员点击。
三、仅可用于网站后台打管理员。
(如果发现平台因哪位朋友爆掉,那不好意思直接封号。很多大型网站后台外网无法访问,正可用此插件。或者某网站后台获取到cookie也无法登陆,也适用于此插件。普通用户可访问的页面一定一定一定禁止使用此插件!!!)
布施恩德可便相知重
微信扫一扫打赏
支付宝扫一扫打赏