文章总结： 本文介绍了猫头鹰XSS平台，这是一款专为红队测试设计的XSS漏洞测试工具。该平台集成了基础信息采集、Cookie捕获、键盘记录、剪切板读写、浏览器密码获取及WebRTC内网探测等多种功能。支持SSL证书水坑攻击、闪电水坑攻击，并能检测Redis未授权访问与特定CVE漏洞。文章详细展示了模块管理、Bot推送及项目创建流程，提供了在线地址与注册邀请码，具有较高的实战应用价值。 综合评分： 75 文章分类： 渗透测试,红队,WEB安全,安全工具

猫头鹰 XSS 平台：一个针对XSS漏洞的测试平台

原创

网安武器库 网安武器库

网安武器库

2026年2月25日 22:20 山东

更多干货  点击蓝字 关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·Donut+SGN 利用微软签名进行静态特征混淆与终端检测规避

·FnOS GUI Exploit Tool:针对 FnOS 系统的综合漏洞利用工具

·ManSpider：一款黑客内网快速敏感信息搜集工具

·Web-Check：一款全面的web网站信息和漏洞扫描工具

·Super Xray：一款基于 Xray 的漏洞扫描工具

·upload_forge：CTF利器-文件上传漏洞扫描工具

介绍

    猫头鹰 XSS 平台可实现基础信息采集、Cookie 与网络存储捕获、键盘记录、剪切板读写、浏览器密码捕获、标签欺骗、禁用密码输入框、WebRTC探测、页面画布截屏，支持附件功能，适配 SSL 证书水坑、闪电水坑等攻击场景，可检测 Redis 未授权访问、Java 版本信息，兼容 CVE-2022-10270 漏洞利用。

    此平台也是一款用于红队测试的工具，支持基础信息采集、Cookie及存储捕获、页面截屏等功能。它具备SSL证书水坑与闪电水坑攻击能力，还能检测Redis未授权访问、Java版本及CVE-2022-10270漏洞。平台支持bot推送与项目管理，适用于安全研究与漏洞检测。

来源介绍

在线地址：

https://owls.ad

    注册邀请码：

onYrIJFpue2S4eXlOWA0lHZdWqwZTw2Emzyi4fcjVPFhzO4cSWPK4jqPpEDE09kg52sLJmUznFiJ6FIxX7bKYZ78O1ovAcDvTSRKx3BytQuRwjSTPgKfQdKafJ2ARouVcn3MU1S2wakaUON75W2jmhAEDKM8f7ZyBBhntJCAAdZpWZ6VtHav6p37CLCgZmdU82AyYIPECydvRqJgOGuTwthoXQOZCLOUM9Min7mI6JAYb6kG

功能介绍

登录进入后，控制面板如下：

    模块管理界面如下：

    所有模块如下：

1、安装密码控制：禁用密码输入框会诱使用户下载密码安全控制软件。2、标签标题图标具有欺骗性：当前页面处于隐藏状态时，修改标签标题和图标，以吸引用户再次点击以激活标签3、密码管理器陷阱：浏览器会自动填写用户名和密码4、WebRTC 内网探测器：检测内部网络上的活跃主机5、登录钓鱼：该系统伪造登录页面，然后获取用户的表单信息，从而窃取用户的帐户和密码6、设置剪贴板：将所需内容写入用户的剪贴板7、剪贴板日志：获取当前用户的剪贴板内容8、键盘记录器：记录用户在当前页面上的键盘输入，每 3 秒发送一次，每累计 30 个字符发送一次9、SSL证书水坑攻击：伪造的已过期 SSL 证书诱使用户安装钓鱼木马10、闪电水坑攻击：利用 Flash 技术创建钓鱼页面，诱骗用户下载木马程序11、Redis 未获得授权：检查 Redis 中是否存在未经授权的访问漏洞12、Java 版本：检查目标计算机是否具有 Java 环境及其对应的版本号13、CVE-2022-10270：该模块用于检测 [AweSun Remote Control] 远程命令执行漏洞，漏洞 ID 为 CVE-2022-10270

    并且支持支持自定义模块：

    支持Bot推送：

    创建新项目：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安武器库 网安武器库 网安武器库《猫头鹰 XSS 平台：一个针对XSS漏洞的测试平台》