- A+
所属分类:WEB安全
之前播报平台发过一个旧版本WordPressde的存储型XSS
最近,0x_Jin分享了该漏洞 WordPress 3.0 – 3.9.2 存储型XSS漏洞 全自动化利用工具
************************************我是万恶的分割线********************************************
Author: 0x_Jin
Blog: http://xss1.com
WeiBo: http://weibo.com/J1n9999
Mail: [email protected]
wp-exp.js功能:
读取txt中每一行的内容去请求,从返回中解析文章的url,如果不是默认的那么便从rss中读取。
读取出文章url后,自动获得表单,并提交xss代码。
xss代码能覆盖掉页面百分之80的内容,触发面积更大:
程序运行后:
触发XSS后:
运行环境:
node.js
如何使用?
使用方法: node wp-exp.js [options]
Options:
--help 显示程序的帮助信息
--version 显示程序的版本信息
< 程 序 主 选 项 >
--f 要发送XSS Payload的主机列表
--j JS脚本地址 如: //xss1.com
妈妈再也不用担心我一个个X站X的手发软了~
下载地址:
