说明
蓝莲花平台BlueLotus,是清华大学曾经的蓝莲花战队搭建的平台,该平台用于接收xss返回数据。
正常执行反射型xss和存储型xss:
- 反射型在执行poc时,会直接在页面弹出执行注入的poc代码;
- 存储型则是在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码。
安装
首先下载phpstudy,下载地址为:https://www.xp.cn/
安装后,打开直接一键启动这里点击启用,就可以使用环境了:
下载BlueLotus_XSSReceiver,可以选择gitee和GitHub两个仓库:
- https://gitee.com/bxqtee/BlueLotus_XSSReceiver(国内速度友好)
- https://github.com/trysec/BlueLotus_XSSReceiver
下载好后,解压将整个解压文件夹放到PHP study的www目录中:
然后,再浏览器中直接输入:http://127.0.0.1/BlueLotus_XSSReceiver-master,就可以启动安装步骤了。
点击“安装”,有需要可以修改密码,默认【bluelotus】,然后点击提交
点击提交后提示安装成功:
点击登录,输入密码【bluelotus】:
进入xss接收面板:
使用
可以使用自己的模板,也可以使用提供的公共js模板,自己创建一个试试:
修改模板中的地址为靶场地址:http://114.67.175.224:11352/?,点击底部的保存即可:
之后再点击生成payload后:
复制左侧中的
然后,就可以接收数据了,需要注意的是蓝莲花靶场有点小问题,必须关闭页面重新进入才能查看:
- 需要先访问一下http://127.0.0.1/BlueLotus_XSSReceiver-master/
- 再访问http://127.0.0.1/xss-master/admin.php,才能看到接收到的的cookie。
http://127.0.0.1/BlueLotus_XSSReceiver-master/login.php
