编者荐语:
前言
最近看到老外在卖一个二十美刀一个月的反射xss扫描器,同时在github找到另一个老外做的差不多的开源工具,其实就是拿着payload一顿梭哈,那么我直接把这俩的payload提取去重,原来俩各有两千多个payload,去重后一共3697个,文末获取下载链接。
然后就可以拿着开源的工具一顿梭哈,自行替换payload文件夹下的xss.txt,那有人就问了,反射xss有啥用,啊hackone有些项目是收反射xss的,中危,从这个工具的用户反馈是挣了300美刀,祝大家也能捡漏。
以下是开源项目介绍:
| Loxs | 多漏洞扫描器 | 用于网络应用 |
|---|---|---|
L | = | 本地文件包含 (LFI) |
O | = | 开放重定向 (OR) |
X | = | 跨站脚本 (XSS) |
S | = | 结构化查询语言注入 (SQLi) |
回车换行注入 (CRLF) |
❝Loxs 是一个易于使用的工具,可以查找网络应用中的问题,如
LFI-OR-SQLi-XSS-CRLF。制作人-AnonKryptiQuzxCoffinxpxHexShad0wxNahox1hehaq!
| 特性 | 说明 |
|---|---|
LFI 扫描器 | 检测本地文件包含漏洞。 |
OR 扫描器 | 识别开放重定向漏洞。 |
SQL 扫描器 | 检测 SQL 注入漏洞。 |
XSS 扫描器 | 识别跨站脚本漏洞。 |
CRLF 扫描器 | 检测回车换行注入漏洞。 |
多线程扫描 | 通过多线程提高性能。 |
可定制载荷 | 根据特定目标调整载荷。 |
成功标准 | 修改成功检测标准以适应特定用例。 |
用户友好的命令行界面 | 简单直观的命令行界面。 |
保存漏洞 URL | 可以选择将漏洞 URL 保存到文件中以供将来参考。 |
生成 HTML 报告 | 生成详细的 HTML 报告,列出发现的漏洞。 |
| <!-- | 通过 Telegram 分享 HTML 报告 |
| 语言 | 依赖包 |
|---|---|
| Python | Python 3.x webdriver_manager selenium aiohttp beautifulsoup4 colorama richrequests gitpython prompt_toolkit pyyaml Flask |
安装
克隆仓库
git clone https://github.com/coffinxp/loxs.git
cd loxs
安装依赖
pip3 install -r requirements.txt
运行脚本
python3 loxs.py
| 输入信息 | |
|---|---|
| 输入 URL/文件 | 提供单个 URL 或包含多个 URL 的输入文件以进行扫描。 |
| 载荷文件 | 选择或提供自定义载荷文件,以进行特定类型的漏洞扫描。 |
| 成功标准 | 定义表示成功利用尝试的模式或字符串。 |
| 并发线程 | 设置多线程扫描的线程数。 |
| 查看和保存结果 | 在扫描过程中实时显示结果,并保存漏洞 URL 以便将来使用。 |
| 自定义 | |
|---|---|
| 自定义载荷 | 修改或创建不同漏洞类型的载荷文件,以针对特定应用程序。 |
| 成功标准 | 调整工具的成功模式,以更准确地检测成功的利用情况。 |
| 并发线程 | 控制扫描过程中使用的线程数量,以优化性能。 |
Chrome 安装
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb
sudo dpkg -i google-chrome-stable_current_amd64.deb
如果在安装过程中遇到任何错误,请使用以下命令::
sudo dpkg -i google-chrome-stable_current_amd64.deb
Chrome 驱动程序安装
wget https://storage.googleapis.com/chrome-for-testing-public/128.0.6613.119/linux64/chromedriver-linux64.zip
unzip chromedriver-linux64.zip
cd chromedriver-linux64
sudo mv chromedriver /usr/bin
▶▶▶ 免责声明
仅用于教育目的。在未获得明确许可的情况下对系统或网站使用这些漏洞是非法的。作者对任何使用这些信息所产生的后果不负责任。
![]()
广告
☟上下滑动查看更多
