firesunCN/BlueLotus_XSSReceiver
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
f5ab50bb8985bf831186df53258d4135b30a70ac
BlueLotus_XSSReceiver/README.md

69 lines
3.4 KiB
Markdown
Raw Normal View History

Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
# XSS数据接收平台无SQL版
## 使用说明
Version 2.2 增加登录界面与登录校验
2015-10-29 00:57:57 +08:00
本平台设计理念基本无需配置即可使用故设计为无需数据库无需其他组件支持可直接在php虚拟空间使用使用步骤
Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
Version 2.2.1 添加guide
2015-10-29 01:13:42 +08:00
![](./guide/mainpanel.png)
Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
* 上传所有文件至空间根目录
* 修改config.php指定数据存放目录数据是否启用AES加密及加密密码
```php
Version 2.2 增加登录界面与登录校验
2015-10-29 00:57:57 +08:00
define('PASS', '2a05218c7aa0a6dbd370985d984627b8');
Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
define('DATA_PATH', 'data');
define('ENABLE_ENCRYPT', true);
define('ENCRYPT_PASS', "bluelotus");
```
Update README.md
2015-10-30 12:11:16 +08:00
可用`php -r "$salt='!KTMdg#^^I6Z!deIVR#SgpAI6qTN7oVl';$key='你的密码';$key=md5($salt.$key.$salt);$key=md5($salt.$key.$salt);$key=md5($salt.$key.$salt);echo $key;"`生成密码hash
Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
* 赋予`DATA_PATH`目录写权限
* 当有请求访问/index.php?a=xxx&b=xxxx所有携带数据包括getpostcookiehttpheaders客户端信息都会记录
Update README.md
2015-10-30 12:11:16 +08:00
* 可访问login.php登录查看记录的数据初始密码bluelotus
Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
Version 2.2.1 添加guide
2015-10-29 01:13:42 +08:00
![](./guide/login.png)
Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
## 目前支持功能
* 自动判断携带数据是否base64编码可自动解码
Version 2.2.1 添加guide
2015-10-29 01:13:42 +08:00
![](./guide/base64.png)
Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
* 记录所有可记录的数据并可根据ip判断位置根据useragent判断操作系统与浏览器
Version 2.2.1 添加guide
2015-10-29 01:13:42 +08:00
![](./guide/info.png)
Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
* 新消息提醒仿QQ邮箱新消息提醒框可实时获得数据
Version 2.2.1 添加guide
2015-10-29 01:13:42 +08:00
![](./guide/newmessage.png)
Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
* 支持简单的查找功能
Version 2.2 增加登录界面与登录校验
2015-10-29 00:57:57 +08:00
* 除了style允许unsafe-inline外启用CSP
* 挑战应答式的登录校验session绑定ip与useragent
Update README.md
2015-10-30 12:11:16 +08:00
* 密码输错三次封IP误封请删除`DATA_PATH`/forbiddenIPList.dat文件
Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
Version 2.3 实现keepsession 修复新消息时标题的bug
2015-10-31 13:46:47 +08:00
## keepsession功能
* 需要在config.php开启
* 如果请求的get或post或cookie中带有keepsession=1则这条记录会被keepsession
* 请设置脚本或者网站监控定期访问keepsession.php
* 请将cookie存在cookie参数url存在location参数传递方法可get可post可cookie`index.php?keepsession=1&cookie=aaa&location=bbb`,keepsession.php将会定期使用cookie aaa去访问bbb
* cookie和location参数支持base64编码keepsession.php会自动判断自动解码
* 如果不设置location将会使用HTTP Referer作为url
* keepsession.php使用`flock($pid, LOCK_EX|LOCK_NB)`实现单例运行由于windows下不支持无阻塞锁定所以最好删除keepsession.php里的`set_time_limit(0)`可自行加上sleep防止keepsession.php被恶意频繁访问
Version 2.1 修改 README.md
2015-10-27 13:06:03 +08:00
## TODO
* 完全启用CSP
* 我的js
* js模板
* 多用户SQL版
* WebSocket新消息推送模式
## 特别说明
* 前端使用Bootstrap与jQWidgets开发原来用kendo UI受限于商业许可改用jQWidgets`you can use jQWidgets for free under the Creative Commons Attribution-NonCommercial 3.0 License`, 但是不可用于商业用途,如需用于商业用途请购买授权
* 为实现jqxgrid不支持的功能如固定表格高度实现row高度自动调节修改了jQWidgets部分代码具体修改部分可查看diff文件夹
* 为方便开发与调试未合并压缩js与css待最终版发布后合并
* 使用纯真ip库的函数基于Discuz X3.1 function_misc.php上修改而来, 判断客户端操作系统与浏览器的脚本基于原作者@author Jea杨写的php版本修改而来后台整体布局借鉴Kendo UI 的demo NORTHWIND DASH
Update README.md
2015-10-30 12:11:16 +08:00
* Warning: 本工具仅允许使用在CTF比赛等学习、研究场景严禁用于非法用途
Version 2.3 实现keepsession 修复新消息时标题的bug
2015-10-31 13:46:47 +08:00
## 意见与建议
欢迎大家在体验过程中提出各种宝贵的意见和建议以及各种bug
反馈邮箱firesun.cn`at`gmail.com
Reference in New Issue Copy Permalink