环境准备
1.首先我们需要搭建一个本地的漏洞测试平台,这里我用的事pikachu漏洞平台(https://github.com/zhuifengshaonianhanlu/pikachu),当然你有XSS漏洞的网页环境也是可以的。然后我们需要注册一个XSS的线上漏洞测试平台(http://xss.tf/index.php?do=login),创建一个项目,如下:
2.点击下一步,选择我们需要的模块,这里我选择的[XSS]H5截图模块,根据需求我么你可以选择自己想要的模块了,也可以多选几个模块,
3.点击下一步,选择我们需要的payload,如下图
4.把我们选择好的payload插入到我们已经找到xss漏洞页面,这里我搭建的是pikachu漏洞平台,如下
5.输入后点击提交,然后回到我们创建好项目的XSS平台页面,点击完成,刷新页面,就可以看到提示了,如下
6.然后点击展开,就可以看到我们需要的信息
,
7.这里显示的信息是base64加密后的,需要我们解码,图片才可以显示出来,我们可以找网上的工具(工具百度),这里我选择的是创建了一个html的页面使用img标签,把我们收到的加密后的数据写进去,如下
8.然后通过我们的浏览器打开(注意这里通过解码的数据,有些浏览器可能不能显示出来,可以多换几个浏览器试下,),打开后这里就是H5截图,图片显示只有一半:
