实战级XSS数据捕获与分析平台：BlueLotus完整技术指南

BlueLotus XSSReceiver是一款专为安全研究人员设计的轻量级开源平台，无需数据库支持即可实现XSS攻击数据的完整捕获、实时监控与深度分析。其核心优势在于零依赖快速部署、自动化数据处理和灵活的攻击模板系统，特别适用于CTF竞赛、漏洞验证和安全评估场景。通过模块化设计与加密存储机制，该平台在确保数据安全性的同时，提供了从攻击捕获到Payload生成的全流程支持。

一、核心能力：构建XSS数据捕获体系

1.1 零配置快速部署架构

BlueLotus采用文件系统存储方案，通过PHP环境即可运行，无需复杂的数据库配置。部署过程仅需三个步骤：首先克隆仓库到Web服务器目录，执行git clone https://gitcode.com/gh_mirrors/bl/BlueLotus_XSSReceiver获取源码；然后通过浏览器访问install.php进入配置界面；最后设置管理员密码与存储路径完成初始化。

图1：安装配置界面展示核心参数设置，包括数据存储路径、加密方式和会话保持选项

关键配置项位于安装界面中的四个核心参数：后台登录密码（默认"bluelotus"）、数据存储路径（默认"data"目录）、加密方式（支持RC4算法）和IP数据库位置（纯真IP库qqwry.dat）。完成配置后，系统会自动生成config.php文件，所有设置可通过修改该文件进行二次调整。

1.2 全维度数据捕获引擎

平台的核心接收端点index.php能够自动记录多种请求数据，包括IP地址、地理位置、请求时间戳、HTTP方法、请求参数、Cookie信息、User-Agent字符串及操作系统/浏览器类型。特别值得注意的是其自动解码机制，能够识别Base64编码数据并自动处理，避免原始数据展示乱码问题。

图2：接收面板实时展示攻击数据，支持按时间、IP和请求类型多维度筛选

数据存储采用分层目录结构，按日期组织的日志文件位于data目录下，每个文件包含当日所有攻击记录。启用加密功能后（config.php中ENCRYPT_ENABLE=true），记录会通过RC4算法加密，密钥由安装时设置的"数据加密密码"控制，确保敏感信息安全。

1.3 智能安全防护机制

平台内置多重安全防护措施，包括密码错误锁定（默认5次错误后封禁IP）、数据传输加密和操作权限控制。IP封禁记录存储在data/forbiddenIPList.dat文件中，误封时可直接删除该文件恢复访问。管理员登录采用会话验证机制，会话信息通过keepsession.php定期更新，确保后台访问安全。

二、实战应用：从攻击捕获到漏洞验证

2.1 攻击模板管理系统

BlueLotus提供了分类化的JS模板库，涵盖常见CMS系统和攻击场景。在"公共模板"模块中，用户可找到针对Discuz!、Dedecms、PHPCMS等系统的专用Payload，这些模板经过实战验证，能够快速实现Cookie窃取、后台地址获取等常见攻击目标。

图3：模板管理界面支持分类浏览和快速编辑，右侧代码区实时展示模板内容

模板系统支持两种调用方式：直接引用公共模板或在"我的JS"模块中组合自定义代码。每个模板包含描述文件（.desc）和代码文件（.js），存储在template目录下，支持用户自行添加新模板扩展功能。

2.2 集成化Payload开发环境

平台内置ACE编辑器，提供语法高亮、代码格式化和错误检查功能。通过"我的JS"模块，研究人员可以：

1. 组合公共模板生成定制化Payload
2. 使用js_beautify进行代码格式化
3. 通过jsmin实现代码压缩
4. 一键复制生成的JS文件URL

图4：编辑器支持模板插入和实时编码转换，加速Payload开发流程

编辑器工具栏提供"生成payload"功能，可自动将当前JS代码转换为多种编码格式，包括HTML实体编码、URL编码和Base64编码，满足不同场景下的绕过需求。

2.3 XSS编码转换工具箱

针对各种WAF过滤机制，平台集成了XSSOR编码工具，支持16/10进制编码、HTML/JS互转、URL编解码和Base64转换等多种功能。通过可视化界面，研究人员可快速对Payload进行多轮编码，测试目标系统的过滤规则。

图5：编码工具支持双向转换，可实时预览编码效果并生成最终Payload

典型使用流程包括：输入基础Payload → 应用多种编码组合 → 测试过滤绕过 → 复制最终代码。工具还提供替换功能，可批量替换敏感字符，进一步提高绕过成功率。

三、深度定制：平台扩展与性能优化

3.1 会话保持与持续监控

通过启用config.php中的KEEP_SESSION选项，平台能够维持与目标的长期连接。当请求中包含keepsession=1参数时，该记录会被特殊标记并保留。配合定时访问keepsession.php的监控脚本，可实现对目标会话的持续跟踪。

配置示例：

define('KEEP_SESSION', true);  // 启用会话保持
define('KEEP_INTERVAL', 300); // 会话更新间隔(秒)

3.2 邮件通知与告警机制

平台支持通过PHPMailer组件发送攻击通知，配置mail.php文件中的SMTP参数即可启用。每次接收到新的XSS数据时，系统会自动发送包含关键信息的邮件，实现实时响应。对于需要即时提醒的场景，可将接收邮箱设置为手机邮箱实现短信通知。

3.3 性能优化与资源管理

为提升大型部署的性能，建议进行以下优化：

• 删除diff、guide和src目录（非二次开发需求）
• 调整数据存储路径到独立分区（防止日志文件占用Web目录空间）
• 定期归档data目录下的历史记录（避免单个文件过大）
• 配置Apache的AllowOverride All以启用.htaccess安全规则

合规提示与免责声明

BlueLotus XSSReceiver仅用于合法的安全研究和教育目的。使用本工具前，请确保您已获得目标系统的合法授权。未经授权的测试可能违反法律法规，使用者需自行承担相关责任。项目开发者不对任何滥用行为负责，所有安全测试应在可控环境下进行。

本平台的设计初衷是帮助安全研究人员更好地理解XSS漏洞原理及防御机制，推动Web安全技术的发展与普及。