XSS数据接收平台——蓝莲花(BlueLotus)

原创 已于 2023-07-01 23:01:55 修改 · 8.8k 阅读 · 54 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#xss
于 2023-06-17 19:49:56 首次发布
文章介绍了蓝莲花平台在XSS攻击中的作用,如何安装和使用该平台进行反射型和存储型XSS攻击。通过创建JS模板,将payload注入靶场(如pikachu)以测试存储型XSS,并在平台中查看返回的用户数据,避免在用户页面上直接弹窗。

文章目录

一、前言

蓝莲花平台是清华大学曾经的蓝莲花战队搭建的平台,该平台用于接收xss返回数据。

  • 用xss数据接收平台的好处:
    正常执行反射型xss和存储型xss,反射型xss在执行poc时,会直接在页面弹出执行注入的poc代码;存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;而使用这种数据接收平台,在用户页面就不会再弹出这个窗口,但在数据接收平台还是可以获取到用户的cookie,以免被用户发觉。

二、安装

1、跟安装靶场的步骤差不多,直接把压缩包BlueLotus_XSSReceiver-master.zip在www目录下解压,然后浏览器访问:http://127.0.0.1/BlueLotus_XSSReceiver-master,就会直接跳转到安装界面上面来。
在这里插入图片描述

2、点击“安装”,有需要可以修改密码,然后点击提交
在这里插入图片描述

3、登录平台
在这里插入图片描述

三、使用

你可以使用自己的模板,也可以使用提供的公共js模板,这里就使用自带的公共模板了
在这里插入图片描述

1、我的JS创建一个模板

在这里插入图片描述
在这里插入图片描述

2、使用创建的模板攻击

在这里插入图片描述

3、打开攻击的目标(这里选择pikachu靶场的存储型XSS模块测试)

打开pikachu靶场,把复制的payload放进去

在这里插入图片描述

4、查看返回的数据

!注意:蓝莲花靶场有点小问题,必须关闭页面重新进入才能查看
在这里插入图片描述

假设该留言板是搭建在服务器的正常网站,这时候其他人来留言,我都能够在这里获得留言人的cookie值。

从零构建XSS接收平台:实战打Cookie与深度防御剖析
weixin_29291069的博客
03-25 394
本文详细介绍了如何从零构建XSS接收平台,包括环境准备、部署BlueLotus开源项目、配置Nginx反向代理等关键步骤。通过实战案例演示如何获取用户Cookie并绕过常见防御措施,同时提供深度防御方案,涵盖服务端和前端防护策略,帮助开发者有效应对XSS漏洞攻击。
搭建属于自己的xss平台
m0_60716947的博客
05-03 1万+
一、什么是打 cookie 简单来说就是:在你访问的页面上执行了一次JS代码,这次代码的执行后可以获取你当前已经登录某个网站的cookie ,并将该cookie 发送到攻击者指定的网站,攻击者利用你的cookie 登录你的账号。 攻击者用来接收cookie 的平台就叫做xss 平台,在网上其实有很多这种平台,但其实有的平台存在黑吃黑的现象(懂得都懂),而且有很多渗透测试任务都是保密的,不可能去第三方网站。 二、cookie 接收平台 这里推荐一个平台BlueLotus_XSSReceiver
轻量级个人XSS平台(BlueLotus_XSSReceiver-master蓝莲花)
DMXA的博客
11-01 1938
该源码是由清华大学蓝莲花战队的firesun编写,安装方便,功能强大
XSS免费接收平台以及模拟钓鱼一键生成测试
vetus1的博客
07-05 5687
XSS平台测试钓鱼一键测试
XSS数据接收平台
2301_81475812的博客
02-16 2132
存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;3.我的项目,点击创建,项目名称和描述随便填,之后点击下一步,选择需要的模板,这里选择“基础默认模块”就好,之后点击下一步,项目就创建成功了。4.提交后,显示安装成功,直接点击登录就跳转到,登录控制面板,输入前面的密码,即可登录到XSS接受面板。进入“我的JS”模块输入要创建的模板名,选择要用的模块,点击插入模块,之后点击新增按钮。4.将复制的payload,放到dvwa的xss模块执。
XSS详解
wangzhemvp的博客
04-21 1436
主要时xssplatform开发较早已经不更新了,所以还是用的之前的php版本。接着我们执行一条sql语句,因为xss数据库里面的sql文件里面的站点域名是作者的,我们将其更新替换成自己的。这里用的别人的图,数据库名用xssplatform,与前面的config.php对应;注册成功了之后我们到phpmyadmin的xss数据库里面将admin升级成管理员。访问http://127.0.0.1/xss,注册admin/123456。下载了之后,将其解压在www目录下的XSS目录下。执行后可以看到更新成功。
Web漏洞-XSS平台简介-相关知识点补充(cookie与session)
ranzi.
03-14 2573
首页(注册)。成功注册后的主页。按照如下路径填写相关信息后点击下一步。之后会返回项目相关的功能。勾选默认模块后点击下一步。点击下一步后,平台会为你创建一个项目。下滑后可以看到平台生成的测试语句。这里我们引用平台生成的最后一条语句。输入网站内的对应位置后点击提交。可以看到成功提交了。来到管理员界面可以看到查看留言的位置。点击进入查看后便发现网站弹出了一个弹窗,说明网站成功执行了js代码。
XSS平台偷取cookie使用+XSS漏洞
NSQ0207的博客
07-24 3752
在线利用网站:复制代码输入复制的代码查看获取到的cookie二、xss触发方式(1)在标签外:(2)在标签内:使用事件型:(先用引号闭合,看看是否有过滤如果有使用大小写试验)在标签内不能使用标签,使用标签标签内资源类型是url使用伪协议。
BlueLotus 下载安装使用
默默提升实验室
02-07 2797
BlueLotus 下载安装使用
BlueLotus XSS接收平台:开源网络安全工具的完整部署指南
gitblog_00814的博客
12-26 712
BlueLotus XSS接收平台是一款由清华大学蓝莲花战队开发的专业网络安全工具,专为XSS攻击数据收集和分析而设计。该平台采用纯PHP编写,无需数据库支持,可在各种PHP环境中快速部署,为安全研究人员和渗透测试工程师提供高效的数据接收解决方案。 ## 项目核心功能特性 **数据收集与分析能力** 作为专业的XSS接收平台BlueLotus能够全面记录所有携带的数据信息,包括GET请求参数
BlueLotus_XSSReceiver 项目推荐
gitblog_07183的博客
09-13 433
**BlueLotus_XSSReceiver** 是一个开源的 XSS(跨站脚本攻击)数据接收平台,由清华大学蓝莲花战队的 firesunCN 开发。该项目主要使用 **PHP** 语言编写,适合在 PHP 环境中运行。它设计简洁,无需数据库支持,可以直接在 PHP 虚拟空间中使用,非常适合用于 CTF 比赛等学习、研究场景。 ## 项目核心功能 1. **无数据库设计**:平台无需数据库支...
基于蓝莲花平台实战XSS攻击:从Cookie窃取到防御策略
最新发布
weixin_33847182的博客
06-18 390
跨站脚本攻击(XSS)是一种利用Web应用漏洞,在用户浏览器中执行恶意脚本的攻击方式。其核心原理在于攻击者通过注入恶意代码,绕过同源策略,窃取用户敏感信息。XSS的技术价值在于揭示了客户端脚本执行的安全边界问题,在身份认证、会话管理等领域具有重要影响。应用场景广泛,包括但不限于社交工程、数据窃取和权限提升。本文聚焦于XSS攻击中的数据外带环节,通过部署清华大学蓝莲花战队开发的BlueLotus_XSSReceiver平台,演示如何构建轻量级接收端,实现Cookie窃取与会话劫持。该平台以部署简单、代码开源为
利用蓝莲花BlueLotus通过XSS获取Cookie
weixin_74761057的博客
07-23 994
蓝莲花BlueLotus_XSSReceiver清华大学蓝莲花战队做的一个平台,优点是足够小,不需要数据库,只要有个能运行php的环境就可以了,缺点是一般只适合一个人用。
手把手教你搭建XSS平台
热门推荐
seek_2022的博客
05-05 2万+
出于学习和技术分享的目的研究了一下XSS平台搭建的方法,由于网络上的教程虽然很多,但是对于很多细节的讲解不够深入,现将XSS平台搭建方法分享给大家。
XSS数据接收网站——XSS在线平台
p36273的博客
06-17 9915
平台的网址是:链接:XSS在线平台
web基础之XSS
m0_74080781的博客
09-10 3494
突然想到一个问题,我刚才制作的攻击语句中的IP是本地的回环地址,所以如果我在虚拟机的靶场中测试攻击,那么我的蓝莲花平台接收不到的,所以这里先在本地的靶场测试,等下在演示在虚拟机中的(如果蓝莲花平台部署在云服务器,就能攻击其他互联网用户)(2)尝试了大佬的在线xss平台;(该平台主机上线有提示语音并且功能比蓝莲花和我搭建的另一个xss平台都好,所以就借助大佬搭建的xss平台作为本期演示平台)填写接收数据的url ,格式:当前蓝莲花平台的url + 文件名(文件名自己取)(1)首先尝试,不成功;
xss接收平台推荐-xss平台-xss在线平台
vetus1的博客
08-12 7814
目录二.XSS在线平台1.访问xss在线数据接收平台:2.创建xss测试项目​编辑3.查看项目对应xss测试代码4.在线功能发送即时代码5.自定义代码的利用6.伪造后台页面测试返回发送明文数据​ 7.延伸搭配自定义代码和发送js搭配模块 自动化钓鱼测试XSS平台-仅用于xss安全测试专用https://d00.cc我们可以看到 有很多返回的信息 包括页面截图 接下来我们测试一下触发效果
XSS漏洞—XSS平台搭建与打cookie
goldfish8848的博客
06-21 3194
6. **避免内联事件**:避免在HTML中使用内联JavaScript事件处理器,如 `onLoad="onload('{{data}}')"` 或 `onClick="go('{{action}}')"`,因为这些容易受到XSS攻击。7. **避免拼接HTML**:前端采用拼接HTML的方法比较危险,如果可能,使用 `createElement`、`setAttribute` 等方法实现,或者采用成熟的渲染框架,如Vue或React。攻击者可能会尝试使用不同的字符编码或分隔符来绕过简单的输入验证。
win7 下搭建 xss蓝莲花 bluelotus平台
qq_25554351的博客
03-18 1459
搭建环境 win7 、phpstudy、DVWA 参考https://mp.csdn.net/editor/html/114966581 下载蓝莲花
从零开始搭建轻量级个人XSS平台(BlueLotus_XSSReceiver-master蓝莲花)
weixin_50464560的博客
03-31 8469
一、 前言 决定搭建XSS平台是因为自己想深入学习一下XSS相关的知识,多多进行实践,上网搜索了一下XSS平台有很多,但是总觉得不是很安全,这个毕竟敏感信息要传输到陌生人的服务器上,而且服务器端测试代码存在不可控性,所以决定自行搭建XSS平台做学习之用。在搭建完成后和我的导师徐松进行了交流,发现这款XSS平台除了在GitHub上有作者专业化的说明外,在网上没有任何关于这款XSS平台搭建...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值