XSS数据接收平台——蓝莲花（BlueLotus）

---

一、前言

蓝莲花平台是清华大学曾经的蓝莲花战队搭建的平台，该平台用于接收xss返回数据。

• 用xss数据接收平台的好处：
  正常执行反射型xss和存储型xss，反射型xss在执行poc时，会直接在页面弹出执行注入的poc代码；存储型则是，在将poc代码注入用户的系统中后，用户访问有存储型xss的地方，也会弹出执行的poc代码，即如下图所示；而使用这种数据接收平台，在用户页面就不会再弹出这个窗口，但在数据接收平台还是可以获取到用户的cookie，以免被用户发觉。

---

二、安装

1、跟安装靶场的步骤差不多，直接把压缩包BlueLotus_XSSReceiver-master.zip在www目录下解压，然后浏览器访问：http://127.0.0.1/BlueLotus_XSSReceiver-master，就会直接跳转到安装界面上面来。

2、点击“安装”，有需要可以修改密码，然后点击提交

3、登录平台

---

三、使用

你可以使用自己的模板，也可以使用提供的公共js模板，这里就使用自带的公共模板了

1、我的JS创建一个模板

2、使用创建的模板攻击

3、打开攻击的目标（这里选择pikachu靶场的存储型XSS模块测试）

打开pikachu靶场，把复制的payload放进去

4、查看返回的数据

！注意：蓝莲花靶场有点小问题，必须关闭页面重新进入才能查看

假设该留言板是搭建在服务器的正常网站，这时候其他人来留言，我都能够在这里获得留言人的cookie值。

---