一键梭哈工具！3697个xss payload助力h1赚美刀_loxs 工具使用方法-优快云博客

本文链接：https://blog.youkuaiyun.com/jingke666/article/details/144045875

前言

最近看到老外在卖一个二十美刀一个月的反射xss扫描器，同时在github找到另一个老外做的差不多的开源工具，其实就是拿着payload一顿梭哈，那么我直接把这俩的payload提取去重，原来俩各有两千多个payload，去重后一共3697个，文末获取下载链接。

然后就可以拿着开源的工具一顿梭哈，自行替换payload文件夹下的xss.txt，那有人就问了，反射xss有啥用，啊hackone有些项目是收反射xss的，中危，美刀，祝大家能捡漏，以下是开源项目：

Loxs	多漏洞扫描器	用于网络应用
`L`	`=`	`本地文件包含 (LFI)`
`O`	`=`	`开放重定向 (OR)`
`X`	`=`	`跨站脚本 (XSS)`
`S`	`=`	`结构化查询语言注入 (SQLi)`
		`回车换行注入 (CRLF)`

Loxs 是一个易于使用的工具，可以查找网络应用中的问题，如 LFI - OR - SQLi - XSS - CRLF。 制作人 - AnonKryptiQuz x Coffinxp x HexShad0w x Naho x 1hehaq!

</div>

特性	说明
`LFI 扫描器`	检测本地文件包含漏洞。
`OR 扫描器`	识别开放重定向漏洞。
`SQL 扫描器`	检测 SQL 注入漏洞。
`XSS 扫描器`	识别跨站脚本漏洞。
`CRLF 扫描器`	检测回车换行注入漏洞。
`多线程扫描`	通过多线程提高性能。
`可定制载荷`	根据特定目标调整载荷。
`成功标准`	修改成功检测标准以适应特定用例。
`用户友好的命令行界面`	简单直观的命令行界面。
`保存漏洞 URL`	可以选择将漏洞 URL 保存到文件中以供将来参考。
`生成 HTML 报告`	生成详细的 HTML 报告，列出发现的漏洞。
<!--	`通过 Telegram 分享 HTML 报告`

语言	依赖包
Python	`Python 3.x` `webdriver_manager` `selenium` `aiohttp` `beautifulsoup4` `colorama` `rich` `requests` `gitpython` `prompt_toolkit` `pyyaml` `Flask`

安装

克隆仓库

git clone https://github.com/coffinxp/loxs.git

cd loxs

安装依赖

pip3 install -r requirements.txt

运行脚本

python3 loxs.py

<!-- 更新工具到最新版本

只需编辑 config.yml 文件，指定工具目录
按下 5 退出工具后，再次运行工具，它将以更新版本运行
``` -->

----

| 输入信息                  |                                                                                     |
|---------------------------|-------------------------------------------------------------------------------------|
| 输入 URL/文件            | 提供单个 URL 或包含多个 URL 的输入文件以进行扫描。                                 |
| 载荷文件                  | 选择或提供自定义载荷文件，以进行特定类型的漏洞扫描。                             |
| 成功标准                  | 定义表示成功利用尝试的模式或字符串。                                               |
| 并发线程                  | 设置多线程扫描的线程数。                                                           |
| 查看和保存结果            | 在扫描过程中实时显示结果，并保存漏洞 URL 以便将来使用。                         |

----

| 自定义                    |                                                                                     |
|---------------------------|-------------------------------------------------------------------------------------|
| 自定义载荷                | 修改或创建不同漏洞类型的载荷文件，以针对特定应用程序。                             |
| 成功标准                  | 调整工具的成功模式，以更准确地检测成功的利用情况。                                 |
| 并发线程                  | 控制扫描过程中使用的线程数量，以优化性能。                                         |

----

### Chrome 安装

```bash
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

sudo dpkg -i google-chrome-stable_current_amd64.deb

如果在安装过程中遇到任何错误，请使用以下命令：:

sudo dpkg -i google-chrome-stable_current_amd64.deb

Chrome 驱动程序安装

wget https://storage.googleapis.com/chrome-for-testing-public/128.0.6613.119/linux64/chromedriver-linux64.zip

unzip chromedriver-linux64.zip

cd chromedriver-linux64

sudo mv chromedriver /usr/bin

本文提到的payload.txt下载链接