前言
一般而言,搭建xss平台是不被允许的,但是由于教育的目的,搭建xss平台更能让学习者更加直观感受xss漏洞对我们的危害和它的重要性。
搭建xss平台
1.搭建xss平台的基础是在phpstudy一个集成环境上的,所有第一步要安装phpstudy(网上有教程就不演示了)
2.接着放出xss平台的源码
XSS平台项目名称:BlueLotus_XSSReceiver
作者:firesun(来自清华大学蓝莲花战队)
项目地址:https://github.com/trysec/BlueLotus_XSSReceiver
推荐原因:该xss平台是个人使用,而非多人使用,更加能满足自己的需求,并且安装简单。
安装过程:
下载phpstudy中的www目录下,phpstudy打开该网站
安装之后,只需修改一些必要的数据,如下
注:密码一定要谨记,不要忘了
完成后访问该网站的login.php
注:之后打开该网站,可能出现白屏,不要慌张,访问index.php就可以了
xss平台的使用
实战获取cookie
访问公共模版中的default.js
修改右侧代码website一行括号内部分,格式为:'http://'+'/该站目录'+'/index.php'
该站目录即是上图URL中粗体部分,修改后,点击修改,以保存
然后进入'我得js',创建文件,此处我取名为cookie,然后点击插入模版,选择刚刚的default.js模版,务必要点击‘新增’保存文件
然后点击生成payload
复制后进入dvwa靶场实战(pikachu靶场也行,只要存在xss漏洞)进行实战
提交后,返回xss平台
右下角已经有提示了,然后点击左侧的接受面板即可查看到cookie。
但是
但是一般我们这个payload管理员一眼就看出来了,所有我们可以对payload进行编码,但是我试过了,下图的编码,只能把所有payload,我把所有编码的payload填入dvwa都未能得到cookie,也就是失效了。
所以我们只能对payload部分进行编码
推荐网站:HTML字符实体转换,网页字符实体编码
然后替代编码前的payload部分,发现成功得到cookie,到此实战就结束了。
留言
眼看不如实操,自己动手可以加深理解!!!
祝你们学习顺利!!!
