0x01 安裝環境
Phantomjs
下載:http://phantomjs.org/download.html
下載后配置環境變量,把bin目錄下的這個exe加入環境變量
xssValidator下載安裝
https://github.com/nVisium/xssValidator
下載xss.js
它是一個基於webkit的JavaScript API。它使用QtWebKit作為它核心瀏覽器的功能,使用webkit來編譯解釋執行JavaScript代碼。任何你可以在基於webkit瀏覽器做的事情,它都能做到。它不僅是個隱形的瀏覽器,提供了諸如CSS選擇器、支持Web標准、DOM操作、JSON、HTML5、Canvas、SVG等,同時也提供了處理文件I/O的操作,從而使你可以向操作系統讀寫文件等。PhantomJS的用處可謂非常廣泛,諸如網絡監測、網頁截屏、無需瀏覽器的 Web 測試、頁面訪問自動化等。
在線安裝
安裝后,cmd下執行
打開監聽,接下來設置代理,打我們使用burpsuit抓包截斷后,將其發送到intruder模塊下,然后將我們的參數add后
接下來點擊設置payload為擴展生成器,並且插件哪兒選擇xss validator,如圖示,
接下來將我們需要匹配的特征字符復制,
接下來再option配置特征字符,當我們批量插入payload后會根據這段字符匹配到成功利用xss的payload
最后點擊start attack
其中特征字符處打勾的是成功利用的payload,我們的phantomjs會在命令行顯示我們發送請求的包,可以進行查看。
