0
点赞
收藏
分享

微信扫一扫

C语言学习笔记:枚举(enum)

夏侯居坤叶叔尘 2023-06-18 阅读 35
xss

文章目录


一、前言

蓝莲花平台是清华大学曾经的蓝莲花战队搭建的平台,该平台用于接收xss返回数据。

  • 用xss数据接收平台的好处:
    正常执行反射型xss和存储型xss,反射型xss在执行poc时,会直接在页面弹出执行注入的poc代码;存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;而使用这种数据接收平台,在用户页面就不会再弹出这个窗口,但在数据接收平台还是可以获取到用户的cookie,以免被用户发觉。

二、安装

1、跟安装靶场的步骤差不多,直接把压缩包BlueLotus_XSSReceiver-master.zip在www目录下解压,然后浏览器访问:http://127.0.0.1/BlueLotus_XSSReceiver-master,就会直接跳转到安装界面上面来。
在这里插入图片描述

2、点击“安装”,有需要可以修改密码,然后点击提交
在这里插入图片描述

3、登录平台
在这里插入图片描述


三、使用

你可以使用自己的模板,也可以使用提供的公共js模板,这里就使用自带的公共模板了
在这里插入图片描述

1、我的JS创建一个模板

在这里插入图片描述
在这里插入图片描述

2、使用创建的模板攻击

在这里插入图片描述

3、打开攻击的目标(这里选择pikachu靶场的存储型XSS模块测试)

打开pikachu靶场,把复制的payload放进去

在这里插入图片描述

4、查看返回的数据

!注意:蓝莲花靶场有点小问题,必须关闭页面重新进入才能查看
在这里插入图片描述

假设该留言板是搭建在服务器的正常网站,这时候其他人来留言,我都能够在这里获得留言人的cookie值。


举报

相关推荐

0 条评论