说明

蓝莲花平台BlueLotus，是清华大学曾经的蓝莲花战队搭建的平台，该平台用于接收xss返回数据。

正常执行反射型xss和存储型xss：

• 反射型在执行poc时，会直接在页面弹出执行注入的poc代码；
• 存储型则是在将poc代码注入用户的系统中后，用户访问有存储型xss的地方，也会弹出执行的poc代码。

安装

首先下载phpstudy，下载地址为：https://www.xp.cn/

安装后，打开直接一键启动这里点击启用，就可以使用环境了：

下载BlueLotus_XSSReceiver，可以选择gitee和GitHub两个仓库：

• https://gitee.com/bxqtee/BlueLotus_XSSReceiver（国内速度友好）
• https://github.com/trysec/BlueLotus_XSSReceiver

下载好后，解压将整个解压文件夹放到PHP study的www目录中：

然后，再浏览器中直接输入：http://127.0.0.1/BlueLotus_XSSReceiver-master,就可以启动安装步骤了。

点击“安装”，有需要可以修改密码，默认【bluelotus】，然后点击提交

点击提交后提示安装成功:

点击登录，输入密码【bluelotus】：

进入xss接收面板：

使用

可以使用自己的模板，也可以使用提供的公共js模板，自己创建一个试试：

修改模板中的地址为靶场地址：http://114.67.175.224:11352/?，点击底部的保存即可：

之后再点击生成payload后：

复制左侧中的

然后，就可以接收数据了，需要注意的是蓝莲花靶场有点小问题，必须关闭页面重新进入才能查看:

• 需要先访问一下http://127.0.0.1/BlueLotus_XSSReceiver-master/
• 再访问http://127.0.0.1/xss-master/admin.php，才能看到接收到的的cookie。

http://127.0.0.1/BlueLotus_XSSReceiver-master/login.php