查看: 19667|回复: 10

wordpress 存储型XSS

[复制链接]
  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2014-12-5 08:40:37 | 显示全部楼层 |阅读模式
    作者:0x_Jin

    是不是wordpress站太多了 一个个X X不过来?
    是不是通宵X站X的想吐?那赶快node一下吧,只需要指定一个攻击目标的列表就好了。

    ps:此程序中最需要优化的部分就是如何去取得文章的URL,目前只从首页以及rss取,由于wordpress模板太乱导致很多取不到就无法XSS,大家可以提出更多方法去取文章URL 然后来修改下。

    JS的功能:
    添加管理员,GETSHELL(不再是之前的DEMO 抛砖引玉版 是真正实战能用的版本),getshell包括getshell当前模板以及全部模板(建议开启getshell全部模板,因为拿下几个shell发现很多当前模板不能编辑)

    wp-exp.js功能:
    读取txt中每一行的内容去请求,从返回中解析文章的url,如果不是默认的那么便从rss中读取。
    读取出文章url后,自动获得表单,并提交xss代码。

    xss代码能覆盖掉页面百分之80的内容,触发面积更大:
    2014120418194478828.jpg
    程序运行时:
    2014120418201517472.jpg
    触发XSS后:
    2014120418211159116.jpg
    运行环境:

    node.js


    如何使用?

    使用方法: node wp-exp.js [options]

    Options:

    --help     显示程序的帮助信息   

    --version  显示程序的版本信息   

        < 程 序 主 选 项 >   

    --f        要发送XSS Payload的主机列表   

    --j        JS脚本地址 如: //xss1.com


    妈妈再也不用担心我一个个X站X的手发软了~


    下载地址:

    wordpress-XSS全自动化利用工具.zip (1.28 MB, 下载次数: 73)

    评分

    参与人数 1i币 +10 收起 理由
    C4r1st + 10 感谢分享

    查看全部评分

    回复

    使用道具 举报

    头像被屏蔽

    该用户从未签到

    发表于 2014-12-5 09:48:53 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-1-15 18:41
  • 签到天数: 412 天

    [LV.9]以坛为家II

    发表于 2014-12-5 10:36:21 | 显示全部楼层
    这个好...
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-6-6 13:33
  • 签到天数: 53 天

    [LV.5]常住居民I

    发表于 2014-12-5 16:03:48 | 显示全部楼层
    这个好,XSS全自动
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-10-1 23:37
  • 签到天数: 8 天

    [LV.3]偶尔看看II

    发表于 2014-12-6 17:38:19 | 显示全部楼层
    有那么牛B吗?试试
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2021-9-9 23:35
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2014-12-6 21:06:23 | 显示全部楼层
    膜拜0x_Jin
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-12-1 08:32
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2014-12-7 10:03:06 | 显示全部楼层
    好东西啊,喜欢
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2016-4-26 16:21
  • 签到天数: 11 天

    [LV.3]偶尔看看II

    发表于 2014-12-7 11:53:06 | 显示全部楼层
    好东西  下载了。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2015-11-4 08:51
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    发表于 2014-12-9 13:23:43 | 显示全部楼层
    来下载了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-12-21 14:30:13 | 显示全部楼层
    感谢分享
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-23 05:49 , Processed in 0.030340 second(s), 21 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部