xss平台

xss平台的搭建

ps:哎现在的年轻人,啥事都发博客,hhh,我承认这是给自己看的。

寻找适合自己的xss平台

网络上有很多xss平台可以来用例如: http://xsspt.com http://xss.tv/index.php https://github.com/firesunCN/BlueLotus_XSSReceiver https://bbs.ichunqiu.com/thread-13187-1-1.html https://github.com/keyus/xss https://github.com/andyhome123/Django-xsser 不过我只用过前几个,其他的也可以自己试一下或者自己写hhh

关于第三个的说明

目前支持功能 * 自动判断携带数据是否base64编码,可自动解码

  • 记录所有可记录的数据,并可根据ip判断位置,根据useragent判断操作系统与浏览器

  • 新消息提醒,仿QQ邮箱新消息提醒框,可实时获得数据

  • 支持简单的查找功能

  • 除了style允许unsafe-inline外启用CSP
  • 挑战应答式的登录校验,session绑定ip与useragent
  • 密码输错五次封IP,误封请删除DATA_PATH/forbiddenIPList.dat文件
  • 可以通过平台直接维护用于xss的js文件(详细说明见下)

js公用模板模块

  • 用户可添加一些js通用模板,在我的js里可随时插入js模板
  • 采用ace编辑器,支持js语法高亮,语法错误检查

  • 使用js_beautify实现js代码格式化,可随时格式化js代码
  • 使用jsmin实现js代码压缩,可随时压缩js代码
  • 支持复制js代码的url到剪切板(需要浏览器支持flash)
  • 提供了一些常用的js模板,包括前几天心血来潮研究的用js截图,许多模板都是来自各大xss平台,但是又记不起来是分别来自哪,只能再次对各位安全研究人员表示感谢

我的js模块

  • 用户可随时插入js模板
  • 部分整合xssor功能,方便生成payload,xssor有跟强大的功能,大家可以去follow evilcos的github

keepsession功能 需要在config.php开启 如果请求的get或post或cookie中带有keepsession=1,则这条记录会被keepsession 请设置脚本或者网站监控定期访问keepsession.php 请将cookie存在cookie参数,url存在location参数(传递方法可get可post可cookie),如index.php?keepsession=1&cookie=aaa&location=bbb,keepsession.php将会定期使用cookie aaa去访问bbb cookie和location参数支持base64编码,keepsession.php会自动判断,自动解码 如果不设置location,将会使用HTTP Referer作为url * keepsession.php使用flock($pid, LOCK_EX|LOCK_NB)实现单例运行(由于windows下不支持无阻塞锁定,所以最好删除keepsession.php里的set_time_limit(0)),可自行加上sleep防止keepsession.php被恶意频繁访问

邮件提醒 修改config.php相关配置即可,默认关闭,开启后,每次接收到xss都会发邮件通知,需要短信提醒的直接把接收邮箱设置为手机邮箱即可

define('MAIL_ENABLE', false);//开启邮件通知
define('SMTP_SERVER', "smtp.xxx.com");//smtp服务器
define('SMTP_PORT', 465);//端口
define('SMTP_SECURE', "ssl");
define('MAIL_USER', "xxx@xxx.com");//发件人用户名
define('MAIL_PASS', "xxxxxx");//发件人密码
define('MAIL_FROM', "xxx@xxx.com");//发件人地址(需真实,不可伪造)
define('MAIL_RECV', "xxxx@xxxx.com");//接收通知的邮件地址

修改数据加密密码,加密方式

  • 本平台对xss记录、ip封禁列表、js的说明(仅说明)加密,用户可设置是否加密,密码以及加密方式(AES、RC4)
  • 3.0版本起配置里的默认加密方式改为RC4(为了效率)
  • 如果需要改密码,改加密方式,需要对xss记录、ip封禁列表、js的说明进行重加密才能正常访问这些数据
  • 故根目录下提供了change_encrypt_pass.php用于重新加密xss记录,js的描述,ip封禁列表
  • 请在修改加密方式或者加密密码后执行此文件(如果选择不加密,加密密码可写任意值)
  • 使用前,请将change_encrypt_pass.php开始的exit()注释掉,并且在使用前务必做好数据备份以防不测
  • 用法:在shell下执行 php change_encrypt_pass.php (以前是否加密true/false) (旧加密密码) (旧加密方法AES/RC4) (现在是否加密) (新加密密码) (新加密方法)

  • 例:

    • php change_encrypt_pass.php true bluelotus AES true bluelotus RC4
    • php change_encrypt_pass.php true bluelotus AES false xxxx(任意值) AES
  • 也可执行

    • php change_encrypt_pass.php update (以前是否加密true/false) (旧加密密码)
    • 此命令可将所有“xss记录”转化为加密开启,密码bluelotus,加密方法RC4

以上copy自https://github.com/firesunCN/BlueLotus_XSSReceiver/blob/master/README.md