BlueLotus 下载安装使用

说明

蓝莲花平台BlueLotus,是清华大学曾经的蓝莲花战队搭建的平台,该平台用于接收xss返回数据。

正常执行反射型xss和存储型xss:

  • 反射型在执行poc时,会直接在页面弹出执行注入的poc代码;
  • 存储型则是在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码。

安装

首先下载phpstudy,下载地址为:https://www.xp.cn/
BlueLotus 下载安装使用_第1张图片
安装后,打开直接一键启动这里点击启用,就可以使用环境了:
BlueLotus 下载安装使用_第2张图片
下载BlueLotus_XSSReceiver,可以选择gitee和GitHub两个仓库:

  • https://gitee.com/bxqtee/BlueLotus_XSSReceiver(国内速度友好)
  • https://github.com/trysec/BlueLotus_XSSReceiver

BlueLotus 下载安装使用_第3张图片

BlueLotus 下载安装使用_第4张图片

下载好后,解压将整个解压文件夹放到PHP study的www目录中:
BlueLotus 下载安装使用_第5张图片
然后,再浏览器中直接输入:http://127.0.0.1/BlueLotus_XSSReceiver-master,就可以启动安装步骤了。
BlueLotus 下载安装使用_第6张图片
点击“安装”,有需要可以修改密码,默认【bluelotus】,然后点击提交
BlueLotus 下载安装使用_第7张图片
点击提交后提示安装成功:
BlueLotus 下载安装使用_第8张图片

点击登录,输入密码【bluelotus】:
BlueLotus 下载安装使用_第9张图片
进入xss接收面板:
BlueLotus 下载安装使用_第10张图片

使用

可以使用自己的模板,也可以使用提供的公共js模板,自己创建一个试试:
BlueLotus 下载安装使用_第11张图片
修改模板中的地址为靶场地址:http://114.67.175.224:11352/?,点击底部的保存即可:
BlueLotus 下载安装使用_第12张图片

之后再点击生成payload后:
BlueLotus 下载安装使用_第13张图片
复制左侧中的

然后,就可以接收数据了,需要注意的是蓝莲花靶场有点小问题,必须关闭页面重新进入才能查看:

  • 需要先访问一下http://127.0.0.1/BlueLotus_XSSReceiver-master/
  • 再访问http://127.0.0.1/xss-master/admin.php,才能看到接收到的的cookie。
http://127.0.0.1/BlueLotus_XSSReceiver-master/login.php

你可能感兴趣的:(信息安全,安全)