A-A+

后台(内网)打穿神器→xss蠕虫

2017年06月29日 11:31 学习笔记 暂无评论 共968字 (阅读10,874 views次)

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

首先要说一下,有这个插件是因为看了一篇文章,然后根据文章提供的dom稍作修改。

文章地址:延长 XSS 生命期 作者:EtherDream   有兴趣的朋友可以看看。本插件至少在chrome浏览器已经测试成功完全没问题。其他浏览器未测。

插件使用方法注意事项

首先使用这个插件必须要有一个使用【默认模块】的一个项目,注意这个项目只能使用【默认模块】不要使用其它模块配合。

此项目仅使用(默认模块)插件

 

然后我们来到这个使用(默认模块)项目的(查看源码)页面,如下图:

复制你自己对应项目的URL地址(图片只是教步骤,不要复制我的地址)

 

然后随便找到【另一个项目】,按图操作:

注意,这个xssurl参数填写,你刚刚复制的那个url地址,也就是上一个项目的url地址。然后确定保存。

注意最终是X入第二个项目的代码

到这里就算说明完毕。最后说一下他的威力!!!

 

只要对方中招了,则XSS代码会劫持当前页面的所有链接标签(<a>),只要对方点击其他链接,只要同域(同二级域名也可以),则那个没有XSS代码的页面也会被传染有XSS代码。然后那个页面的所有链接标签也会被劫持,最终他浏览哪个页面哪个页面就带XSS代码。(如果储存XSS的那个页面没有恶意代码了,则其他页面也就安然无恙了)

最后打到的cookie等数据会保存在你最开始配置的【默认模块】的那个项目里。

注意事项:

一、禁止在任何网页的前端使用此蠕虫插件(因为其传染性特别强,XSS平台会流量爆掉,导致网页打不开)。

二、禁止用于反射XSS,除非是诱导管理员点击。

三、仅可用于网站后台打管理员。

(如果发现平台因哪位朋友爆掉,那不好意思直接封号。很多大型网站后台外网无法访问,正可用此插件。或者某网站后台获取到cookie也无法登陆,也适用于此插件。普通用户可访问的页面一定一定一定禁止使用此插件!!!)

 

布施恩德可便相知重

微信扫一扫打赏

支付宝扫一扫打赏

×

给我留言