MrWu
  • 存档
    • 那些文章
    • 漏洞预警
    • 圈内新闻
    • 资源分享
    • 设计笔记
  • 吐槽
  • 笔记
  • 关于
    • 留言
    • 友链
    • 计划
    • 读者墙
    • 标签集
  • 面板
    • 更新历史
    • XSS平台
    • 存活检测
    • 子站搜索

会员面板

请经常阅读公告和更新日志来快速了解面板的发展情况.

未登录 未激活
  • 面板公告
  • 更新历史
  • XSS 平台
    • 我的模块
    • 公共模块
    • 辅助扩展
    • 短号选择
  • 子站搜索
  • 面板密语
  • 个人设置
  • 消费清单
  • 退出登录

在此感谢公开者,模块效果请自行测试!如果模块不如意,请自行创建新模块!

模块名称 模块描述 公开者 创建时间 操作
[测试成功] 超强默认模块 尽量不要多个模块一起使用,容易引起冲突。 自带截图和源码获取功能。 平台 2020-07-06 查看
[测试成功] 简单版默认模块 通过xss完成基本的攻击,包括获取后台地址,认证cookie 平台 2020-07-04 查看
[测试成功] 账密钓鱼-绕过httponly 具体使用查看:https://www.mrwu.red/biji/3047.html 平台 2020-12-31 查看
[测试成功] 新版FLASH钓鱼 判断非手机和MAC弹框,延迟弹框,exeurl填写flash木马下载地址,time填写延迟多久弹框 1000为1秒 *** 2022-12-21 查看
[测试成功] 谷歌浏览器崩溃钓鱼 判断非手机MAC弹框,崩溃界面钓鱼,time参数是延时显示时间,exeurl参数是免杀马下载地址 *** 2022-12-21 查看
获取浏览器记住的明文密码 参考 余弦大牛的文章,写了个模块http://hi.baidu.com/zeracker/item/c2de19cbdfa013db964452cb type id name 为要获取的表单页面 input标签属性值,测试通过 chrome firefox 360浏览器。 只要是 同域的 都可获取! 比如 要获取的浏览器已记录的密码为webvul.com/admin.php 文件的 那么在 webvul.com/admin/user/list.php页面插入 也可以获取到! 平台 2010-07-03 查看
CSRF操作Redis写文件 利用ajax访问redis写文件,可利用此方法获取目标主机权限; 常用目录:/root/.ssh /var/spool/cron/ 只要一个xss漏洞打入内网不是梦 平台 2010-07-03 查看
xss+csrf+redis自动化入侵内网 在http://替换成你的域名/xss.php?do=module&act=set&id=20基础下改进,批量操作内网redis 参数说明: ip:你要打的内网ip段,填10.10.2.1 则打内网的10.10.2.1-10.10.2.255 lhost:你的服务器,用nc监听的ip lport:nc监听的端口 平台 2010-07-03 查看
自动获取内网ip打内网redis 详细说明:http://替换成你的域名/1355.html 参数说明: lhost:你的服务器,用nc监听的ip lport:nc监听的端口 自动获取内网IP,自动打内网255机器 平台 2010-07-03 查看
键盘记录 获取管理员在键盘上的操作记录,例如管理员按下了键盘上的某个键值,然后这些数据会回传至平台,8秒回传一次。 平台 2010-07-03 查看
JetBrains ide任意文件读取 http://blog.saynotolinux.com/blog/2016/08/15/jetbrains-ide-remote-code-execution-and-local-file-disclosure-vulnerability-analysis/ 2016-08-15 爆的漏洞 平台 2010-07-03 查看
post指定页面源码读取 post这种方式比较好,比GET好。 filename:本人解释一下,你需要读取的URL地址。必须要跟你XSS插入的是同一个域名哦。 平台 2010-07-03 查看
自助xss 实现记录键盘、网页源码、cookie功能,得到的数据不存入数据库,直接定时转发到你的注册邮件,保证了隐私。设置的时候启用就输入1。时间间隔是必填项,单位是秒。 平台 2010-07-03 查看
指定页面源码读取 获取客户端指定页面源代码 平台 2010-07-03 查看
AJAX POST/GET操作 PKAV|请复制代码,配置-自定义代码 平台 2020-07-04 查看
路由DNS替换 路由DNS替换 平台 2010-07-03 查看
弹框测试 javascript里弹出框"xss" 平台 2010-07-03 查看
KillAdmin 用于防止管理员登出或注销导致会话失效。 平台 2010-07-03 查看
键盘记录 作者:园长 网址:http://javaweb.org/?p=326 平台 2010-07-03 查看
CSRF 用于便捷的进行跨站请求,将项目生成的脚本加载到你的页面中即可。 平台 2010-07-03 查看
QQ skey获取 QQ skey获取 平台 2010-07-03 查看
键盘记录2 键盘记录,定时发送到自己的邮箱,t为定时秒数,最小为5秒, s为键盘单个字符间的分隔符 平台 2010-07-03 查看
apache httponly new apache httponly bypass 利用apache server head limit 8192字节限制, 从400状态页爆出httponly保护的cookie. xsser.me平台httponly模块的一点修改 http://bbs.blackbap.org/thread-4724-1-1.html 平台 2010-07-03 查看
劫持搜索引擎 劫持搜索引擎来路跳转 平台 2010-07-03 查看
劫持百度搜索引擎 劫持百度搜索引擎 平台 2010-07-03 查看
页面替换劫持数据 登陆页面替换,获取账号密码数据 平台 2010-07-03 查看
getHtmlText getHtmlText 平台 2010-07-03 查看
phpinfo httponly 如果存在phpinfo 可以从phpinfo 里面获取 httponly cookie 平台 2010-07-03 查看
利用浏览器网页替换 parent.window.opener利用 https://www.t00ls.net/thread-34319-1-1.html 平台 2010-07-03 查看
JavascriptCCFool 通过Js发动CC攻击,优化版,真实请求无法防御,此版本不带Cookie验证,无法过安全狗频繁访问提示,参数不需要带http://!注意可能卡死浏览器! 平台 2010-07-03 查看
获取内网ip 参考https://diafygi.github.io/webrtc-ips/ 平台 2010-07-03 查看