A-A+

指定多URL地址提交数据(post) XSS平台模块使用说明

2018年07月11日 13:29 学习笔记 暂无评论 阅读 214 views 次

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

在讲解此插件使用说明前,先普及一下POST知识,建议阅读,这样也许你会有些基础收获哦。

首先看下图,下图是一个正常的POST数据包(红色部分是要提交的数据。):

post数据包

post数据包

我们把要提交的数据单独拿出来分析一下。注意看下图,一定要仔细看,点击图片可以放大,(点击图片上方的小按钮还可以把图片放更大):

post数据包讲解

post数据包讲解

------------------一定要把上面这些看明白,然后下面你就会彻底明白插件的使用了。------------------------

首先选中【指定多URL地址提交数据(post)】,如下图,当选中这个模块的时候,这个模块会让你配置如下参数

posturl 为提交数据的URL地址①

postdata 为对应地址应该提交的数据①

----------------------------------------------

posturl1 为提交数据的URL地址②

postdata1 为对应地址应该提交的数据②

-----------------------------------------------

posturl2 为提交数据的URL地址③

postdata2 为对应地址应该提交的数据③


插件如下图:

指定多URL地址提交数据(post) 模块

指定多URL地址提交数据(post) 模块

这里举例例如,我想给某个网站后台添加管理员帐号,,如果管理员中招我的XSS,通过分析知道了地址。还有需要提交的参数。那么可以如下配置。

 

posturl   这里需要填写post的地址示例(必须要带http哦):  http://www.xss.com/admin/adduser.php

postdata  这里需要填写post的数据包示例:user=testtest&pass=123456

 

然后保存即可,如果还需要提交其他的数据包,那么再同理配置其他的项。

这里一定一定要注意一个问题。那就是你提交“参数”还有“值”一定要进行一下URL编码

大家应该看到我上方做的那个(post数据包讲解图),一定一定要把“参数”、“值”进行URL编码,但是同时要注意,“连接符”、“等号”不要进行URL编码。然后把这些需要提交的数据组合好放到postdata里面,然后保存。

 

如何URL编码呢?如下图:

首先:

进入URL编码工具箱

进入URL编码工具箱

 

然后按下图操作进行编码。 一定仅仅编码“参数”、“值”这两项进行URL编码,其他的不要进行URL编码

url编码

url编码

 

举例编码前POST提交的内容大致是如下:

user=测试&pass=123*"

 

上方需要POST提交的内容编码后如下:

user=%E6%B5%8B%E8%AF%95&pass=123*%22

然后把这个编码组合后的内容放入到插件的“postdata”提交内容处就可以啦。只要管理员再次访问带有你XSS代码的页面,如果你更改成了这个模块,那么,这里就会按照你的数据包添加管理员,或者做一些其他的操作了。

 

其实可以不这么费劲,但是毕竟有些朋友可能刚触及此领域,容易导致自己提交的内容并不好使与插件有冲突(例如带双引号、单引号什么的,虽然有方法可以避免,但是有些麻烦,不如使用插件的人麻烦一下啦)

标签:

给我留言