2026-03-12 22:22:21 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了AJE安全推出的一站式红队XSS平台Xeye，旨在解决渗透测试中工具分散的痛点。平台集成了XSS利用、钓鱼攻击、凭证收集、C2对接及OOB探针等功能，支持多种Payload生成、高仿真钓鱼模板克隆及团队协作。文章通过BlindXSS、定向钓鱼、SRC挖掘等实战场景演示了具体用法，为红队攻防提供了高效的集成化工具支持。 综合评分： 65 文章分类： 安全工具,红队,产品介绍,WEB安全,渗透测试

cover_image

Xeye–全网功能最齐全且最安全的XSS平台

原创

Star Star

AJE安全

2026年3月12日 15:53 新加坡

—— AJE安全 · 产品发布 ——

在红队攻击的真实渗透场景中，有一个很现实的问题：收 Cookie 用 XSS Hunter，远控要开 BeEF，DNSLog 得单独搭，钓鱼还得部署 GoPhish，短链接又要找第三方服务。工具一多，时间成本就上去了。

我们在日常攻防渗透中反复受到这些问题的困扰，我们相信受这些问题困扰的不止于我们，因此有了Xeye，一站式红队 XSS 平台。把 XSS 利用、钓鱼攻击、凭证收集、C2 木马投放、OOB 探针、中继攻击、注入追踪、团队协作全部整合到一个界面里。

下面把平台的主要功能逐个拆开介绍。

· · ·

仪表盘

登录后的首页。顶部展示核心数据：已部署项目数、XSS 触发总数、探针记录数、钓鱼命中数，以及今日与昨日的对比变化。

下方是可视化看板：浏览器类型分布、操作系统分布、设备类型占比、24 小时活动热力图、项目触发排行榜。右侧还有实时动态流，哪个 XSS 被触发了、哪个钓鱼页收到了凭据，都会实时滚动显示。

· · ·

项目管理

这是平台的核心模块。每个渗透目标建一个项目，项目下有四个 Tab：

XSS 记录 当目标触发了你的 Payload，这里会自动记录：触发者 IP、注入来源页、触发页面、页面标题、Cookie、localStorage、屏幕分辨率、Session ID、在线/离线状态、触发时间。每条记录可以点进去看详情，也可以直接打开远程命令终端——在受害者浏览器里执行 JS 命令。

KeepSession 会话持久化功能。XSS 触发后，受害者关闭页面会话就断了。开启 KeepSession 后，平台会定期刷新会话保持连接，延长控制窗口。

图片记录 基于图片探针的追踪记录。在邮件、文档、网页中嵌入一个不可见的探针图片，对方打开就会触发记录，获取 IP、User-Agent 等信息。适合用于确认目标是否查看了特定内容。

钓鱼记录 与钓鱼模板联动。当受害者在钓鱼页面提交了账号密码，凭据会自动回传到对应项目的这个 Tab 下，字段包括用户名、密码、提交时间、来源 IP。

配置代码 点击后弹出当前项目的专属 Payload 集合。平台提供了十余种 Payload 变体，覆盖不同注入场景：

• 闭合标签 + 混淆 • Base64 + Autofocus • IMG / SVG + Base64(atob) • Details Ontoggle • IMG + document.write(CharCode) • 极限短代码 • IMG + URL 编码 • IMG + createElement • iframe + srcdoc（10进制/16进制编码） • iframe + javascript(hex) • iframe + data:URI(base64) • 图片探针（URL/HTML/Markdown 格式）

每种 Payload 点击即复制，不需要自己手动构造。

· · ·

钓鱼模板库

平台内置了 29 套钓鱼模板，分三大类：

钓账号密码（16套） Google、Microsoft、GitHub、Discord、Steam、Cloudflare、QQ邮箱、微信、支付宝、VPN、WiFi 认证页、企业 OA、企业 SSO、SSL 证书过期提示、会话过期（iframe 方式）、会话过期（跳转方式）。

每套模板都是高仿真的登录页，受害者输入凭据后自动提交到平台，记录在对应项目的钓鱼记录 Tab 中。

诱导下载远控（11套） 伪装成各类软件更新页面，引导目标下载远控文件。配合 C2 模块使用，上传的远控文件会生成绑定引用链接，嵌入模板后实现钓鱼到上线的无缝衔接。

权限获取（2套） 通过伪装页面诱导目标授权摄像头、麦克风或屏幕共享权限。

凭据钓鱼克隆器 这个功能单独说一下：输入任意目标网站的登录页 URL，平台自动抓取并克隆该页面。克隆后的页面外观与原站一致，但表单提交地址指向 Xeye 平台，凭据实时回传。在做定向钓鱼时，不需要手动写页面，直接克隆就行。

· · ·

Payload 生成器与编码工具

Payload 生成器收录了 9 大分类、59 种 Payload：

基础向量（4种） Script 标签、IMG onerror、SVG onload、Iframe 注入 事件触发（5种） Body onload、Input onfocus、Details ontoggle、Marquee onstart、Video onerror 高级手法（5种） Fetch+Eval、XMLHttpRequest、jQuery 加载、Object data、Embed src WAF 绕过（10种） 双写绕过、大小写混淆、换行绕过、Tab 绕过、JS 伪协议编码、Data URI、eval+atob、setTimeout、Constructor、SVG animate 钓鱼链接（29种） 对应全部钓鱼模板的直接链接 探针追踪（2种） 图片探针、CSS 图片探针 Markdown（2种） Markdown 图片、Markdown XSS 链接触发（1种） Anchor href 遗留兼容（1种） Style 表达式（IE）

支持关键词搜索、短链接生成、批量复制、导出。

编码工具集成在 Payload 生成器的第二个 Tab 中，分四组：

基础编码：Base64 编解码、URL 编解码、URL 全编码、URL Safe Base64 HTML 编码：HTML 实体编解码、Htmlspecialchars、10进制/16进制编解码 JavaScript 编码：Unicode 编解码、Hex 编解码、八进制编解码、十六进制编解码、String.fromCharCode 其他工具：JSFuck 简化、大小写混淆、eval 直接执行

输入原始内容，选择编码方式，一键转换。在绕 WAF 构造 Payload 时能省不少时间。

· · ·

OOB 探针

平台内置了 DNSLog / HTTPLog 功能。每个用户注册后会分配一个专属的探针 URL，不需要自己搭建 DNSLog 服务。

预置了 6 种 Payload 模板，复制即用：

• HTTP 探针（curl 命令） • IMG 标签（HTML 图片标签触发） • Script 标签（JS 脚本触发） • SSRF 探测（验证服务端请求伪造） • XXE Payload（验证 XML 外部实体注入） • Blind XSS（验证无回显 XSS）

可以自定义探针路径来区分不同注入点。比如 /target-a/feedback-form 和 /target-a/username-field，触发后直接看路径就知道是哪个注入点回来的。

· · ·

中继攻击、C2 对接与其他功能

▎中继攻击

针对 QQ / Discord 的 OAuth 凭证中继。当受害者访问带 ?relay=1 参数的钓鱼页面时，平台自动创建一个中继会话，实时监控认证流程并截获凭据。后台可以看到所有中继会话的状态：进行中、已成功、总数统计。

▎C2 远控对接

两个功能：面板配置——填入 VShell、CobaltStrike 等 C2 的面板地址，一键跳转管理。远控文件管理——填写远控文件的外部链下载接，平台生成绑定引用链接，把这个链接嵌入钓鱼模板的下载按钮里，受害者点击下载的就是你的远控。整个链路：钓鱼页面 → 凭据收集 → 引导下载 → C2 上线。

▎邮件活动

创建钓鱼邮件活动，设置邮件主题和内容，批量发送给目标邮箱列表。平台追踪发送进度和邮件打开率，确认哪些目标打开了邮件。

▎短链接

将 Payload 链接或钓鱼 URL 转为短链接，隐藏真实地址。同时统计每条短链接的点击次数和最后点击时间。

▎团队协作

支持多人同时使用平台。功能包括：协作概览、共享项目、成员管理、活动日志、协作特征码（邀请机制）、协作请求审批。可以看到当前在线成员状态。

▎注入追踪

专门用于管理 Blind XSS 注入点。记录每个注入点的目标 URL、注入类型、当前状态、触发次数和最后触发时间。当你同时往几十个目标的不同位置注入了 Payload，这个模块帮你追踪哪些触发了、哪些还没有。

▎通知告警

支持四种通知渠道：邮件、飞书机器人、Bark 推送、自定义 Webhook。XSS 被触发、钓鱼收到凭据时，消息直接推到手机上，不用一直盯着平台。

▎模块管理

分为公共模块和私有模块。公共模块由用户共享，包含 Cookie 会话重放、CSRF 利用模板、设备类型分流跳转等通用功能。私有模块支持用户自定义 JS 利用逻辑，根据实际需求扩展平台能力。

· · ·

实战场景

场景一：Blind XSS 打后台管理员

这是 Xeye 最核心的使用场景。完整流程如下：

创建项目，打开配置代码，根据目标输入点的上下文选择 Payload 变体（比如在属性值中用闭合标签+混淆，在富文本中用 IMG/SVG 标签）
将 Payload 注入目标系统的各种输入点：反馈表单、用户名字段、收货地址、客服聊天、工单系统、简历投递等
在注入追踪模块给每个注入点打标签，记录目标 URL、注入类型和时间
等待——管理员在后台查看这些数据时触发 XSS
平台通过飞书/Bark/邮件实时推送告警，通知你哪个注入点被触发了
进入 XSS 记录查看详情：管理员 IP、Cookie、Session、屏幕分辨率等
打开远程命令终端，在管理员浏览器中执行 JS——读取页面内容、跳转URL、获取更多权限信息
开启 KeepSession，即使管理员关闭了页面，会话也不会立即失效

场景二：定向钓鱼攻击链

针对特定目标的完整钓鱼攻击，从准备到收割全程在 Xeye 内完成：

使用凭据钓鱼克隆器，输入目标企业 SSO/OA 登录页的 URL，一键克隆出高仿真钓鱼页
在 C2 模块上传远控文件（如伪装成 VPN 客户端更新包），获取绑定引用链接
选择”诱导下载远控”类钓鱼模板，将远控引用链接嵌入下载按钮
生成短链接，把钓鱼 URL 伪装成正常的企业通知链接
创建邮件活动，编写钓鱼邮件（如”VPN 客户端安全更新通知”），批量发送给目标邮箱列表
追踪邮件打开率，确认目标是否查看了邮件
受害者点击链接 → 输入凭据（自动回传到钓鱼记录）→ 下载”更新包” → C2 上线

场景三：图片探针社工定位

不需要对方点击链接，只需要对方”看到”你发的内容：

在项目中获取图片探针（支持 URL、HTML、Markdown 三种格式）
将探针嵌入邮件正文、文档附件、论坛帖子、即时通讯消息中
对方打开内容时，探针自动触发，记录 IP 地址、User-Agent、访问时间
通过图片记录 Tab 查看结果，确认目标身份、地理位置和设备信息
适用于：确认目标是否在线、定位目标 IP、验证邮件是否被阅读

场景四：OAuth 凭证中继劫持

针对使用 QQ/Discord OAuth 登录的目标：

在中继攻击模块创建会话
生成带 ?relay=1 参数的钓鱼链接，通过短链接伪装后发送给目标
目标点击链接后看到正常的 OAuth 授权页面，毫无感知
目标完成授权操作，凭据在中继过程中被平台实时截获
在中继攻击面板查看捕获的会话和凭据信息

场景五：SRC 漏洞挖掘辅助

在 SRC 漏洞挖掘中，Xeye 可以作为 XSS 和 Blind 漏洞验证的基础设施：

在目标管理模块录入要测试的 SRC 目标清单，按优先级排序
用 Payload 生成器批量导出各类 XSS Payload，配合手工测试逐一注入
对于无回显的注入点，使用 OOB 探针验证——自定义路径区分不同目标和注入位置
用注入追踪模块管理所有注入点的状态，避免重复测试或遗漏
遇到 WAF 拦截时，用编码工具对 Payload 做 Base64/Unicode/Hex 等变换绕过
触发成功后，XSS 记录提供完整的 Cookie 和页面信息，可直接用于漏洞报告的危害证明

场景六：红队多人协同作战

在团队红队行动中，Xeye 的协作功能让多人可以同时推进：

团队负责人创建共享项目，通过协作特征码邀请成员加入
不同成员负责不同目标，各自在注入追踪中记录进度
任何成员的注入触发成功，全员通过通知渠道收到告警
活动日志记录每个成员的操作，方便复盘和报告撰写
共享的钓鱼模板和 Payload 库，避免重复造轮子

· · ·

最后

本次发布会放出一百个使用名额

邀请码在“AJE安全”公众号菜单中点击“邀请码”即可获取

请关注公众号后续还会持续放出邀请码

Xeye 是我们在长期实战中沉淀出来的产品。做这个平台的出发点就是把原来分散在四五个工具里的工作流，收敛到一个平台完成。

平台仍在持续迭代中，欢迎各位师傅体验和反馈。

平台地址：xss.icu

· · ·

本文仅用于安全研究和授权测试学习交流严禁用于非法用途 · 使用者应遵守相关法律法规

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AJE安全 Star Star《Xeye–全网功能最齐全且最安全的XSS平台》