这篇更详细,对蓝莲花的XSS有更详细的说明
https://blog.csdn.net/weixin_50464560/article/details/115360092
https://bbs.secgeeker.net/thread-1519-1-1.html

搭建xss-platform平台

一直想搭在公网搭建自己的XSS平台用来验证XSS漏洞,使用别人的平台自己心里总会有担心被摘果子的顾虑,前几天参考了不少前人的博客,终于搭建好了,搭建的途中也遇到了不少坑,故把搭建的经验分享出来,大佬轻喷。

先上github上面溜达了一圈,笔者搭建的环境是windows服务器+phpstudy,所以对应比较好的选择是:xss-platform或者BlueLotus_XSS,因为还没有学docker,所以这里就没有考虑使用docker进行搭建。

这两款XSS平台的搭建过程如下:

xss-platform是一个非常经典的XSS渗透测试管理系统,原作者在2011年所开发,由于后来长时间没有人维护,导致最开始的版本在php7的环境下无法运行,但是github上面有大佬已经将源代码移植到了php7环境中,感兴趣的朋友可以去看看,这里我们还是介绍xss-platform原版的安装。

xss-platform源代码下载:https://github.com/thickforest/xss_platform

下载了之后,将其解压在www目录下的XSS目录下

然后修改config.php配置文件。

主要需要修改的地方已经使用箭头标注出来了,数据库用户根据自己的情况修改,因为我的mysql用户名还是root没有修改,所以用户名就不用修改了,数据库密码修改为自己数据库的密码,数据库名修改为待会我们在mysql数据库里面新建的一个储存xss平台数据的数据库名称,注册配置改为normal,因为默认的invite是需要邀请注册的,而我们需要先自己注册一个账户(PS:也可以直接在数据库里面添加,不过这样要麻烦一些),网站url路径修改为在www目录下的路径,之前我们的文件夹是www/XSS/….,所以这里就是http://ip/XSS。

接着我们去数据库里面新建储存xss数据的库。

新建数据库可以在mysql命令行里或者在phpmyadmin里面进行操作,为了后面导入xssplatform.sql方便,这里我们直接在phpmyadmin里面进行。

因为之前我们在config.php里面已经设置数据库名为xss,所以这里新建一个名为xss的数据库对应,

创建成功后进入xss数据库

点击导入,导入xssplatform.sql文件,sql文件的位置在

导入成功后可以看到xss数据库里面多了这几张表

接着我们执行一条sql语句,因为xss数据库里面的sql文件里面的站点域名是作者的,我们将其更新替换成自己的。

?
1
2
<code-pre class= "code-pre" id= "pre-RyM637" ><code-line class= "line-numbers-rows" ></code-line> UPDATE oc_module SET
<code-line class= "line-numbers-rows" ></code-line>code= REPLACE (code, 'http://xsser.me' , 'http://47.94.132.67/XSS' ) </code-pre>

这里的域名替换成自己的

执行后可以看到更新成功

然后我们配置伪静态页面(.htaccess),这是必须要配置的,否则xss平台生成的网址将打不到他人的cookie。(我就是偷懒这里没弄好所以后来找了好久的原因。

可以看到源码下载了之后里面有一个.htaccess文件,我们将其修改成适合自己环境的,如果没有的话就自己新建一个。

1,如果是Apache服务器,.htaccess的一个模板如下:
RewriteEngine On
RewriteBase /
RewriteRule ^([0-9a-zA-Z]{6})$ /index.php?do=code&urlKey=$1 [L]
RewriteRule ^do/auth/(\w+?)(/domain/([\w.]+?))?$ /index.php?do=do&auth=$1&domain=$3 [L]
RewriteRule ^register/(.?)$ /index.php?do=register&key=$1 [L]
RewriteRule ^register-validate/(.?)$ /index.php?do=register&act=validate&key=$1 [L]

2,如果是Nginx服务器,则一个模板如下:
rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 break;
rewrite "^/do/auth/(w+?)(/domain/([w.]+?))?$" /index.php?do=do&auth=$1&domain=$3 break;
rewrite "^/register/(.?)$" /index.php?do=register&key=$1 break;
rewrite "^/register-validate/(.?)$" /index.php?do=register&act=validate&key=$1 break;
rewrite "^/login$" /index.php?do=login break;

值得注意的是,如果我们将.htaccess文件直接这样写的话,是无法访问js文件的。

例如我们将源代码放在phpstudy(Apache环境)的WWW目录下的XSS文件夹里,.htaccess就应该是:
RewriteEngine On
RewriteBase /
RewriteRule ^([0-9a-zA-Z]{6})$ XSS/index.php?do=code&urlKey=$1 [L]
RewriteRule ^do/auth/(\w+?)(/domain/([\w.]+?))?$ XSS/index.php?do=do&auth=$1&domain=$3 [L]
RewriteRule ^register/(.?)$ XSS/index.php?do=register&key=$1 [L]
RewriteRule ^register-validate/(.?)$ XSS/index.php?do=register&act=validate&key=$1 [L]

这样我们访问http://127.0.0.2/XSS/E2xAAk才会出现我们构造的恶意js代码。

至此xss-platform平台就安装完成了

因为我们之前将注册配置改成了normal,即任何人都可以注册,所以我们先注册一个账号。

注册码随意填写

注册成功了之后我们到phpmyadmin的xss数据库里面将我们升级成管理员。

我们将adminLevel从0修改为1,就将我们提升成了管理员,也就是可以发放注册码进行邀请注册。

然后回到config.php里面把注册配置改成invite

这样的话就大功告成了,搭建好了之后还是挺有成就感的。

接着介绍BlueLotus_XSS平台的搭建

BlueLotus_XSS的源代码在这里:(可以自己在github上找,这个已经不是最新版本了)https://github.com/trysec/BlueLotus_XSSReceiver

其安装起来相比较于xss-platform更加简单,如果说xss-platform是一个多人使用的堡垒,而BlueLotus_XSS更像是一个人使用的瑞士军刀。

我们下载了之后也解压在WWW目录下

因为我解压在www/BlueLotus_XSSReceiver-master文件夹下,所以我们访问http://ip/BlueLotus_XSSReceiver-master/admin.php登录后台

我们点击安装直接在页面上进行安装。

必要的需要修改的地方箭头已经标注了。

我们修改好了之后直接登录。

现在就直接可以使用了。

同时感谢编写平台代码的师傅,后面很长一段时间估计我都会在学php,所以自己应该也会写一个xss平台,希望不要咕咕咕了。

PS:之前图片挂掉了,现在自建图床之后应该可以坚持很久hhh(XSS平台还是没有写,去忙其他的事情了,继续沉淀自己趴

__EOF__

搭建xss-platform平台相关推荐

  1. XSS测试平台搭建(超详细)

    1.拉取镜像 docker pull daocloud.io/library/mysql:5.6 2.运行mysql服务,密码为root,端口号为3306 docker run --name mysq ...

  2. Ubuntu搭建XSS平台 nginx+php5.6+mysql

    重要! 因为网上搭建XSS平台的大多数都是用Apache来做Web服务器的,所以我就找了些资料用nginx进行搭建,其实很简单. 本人还是个小白,对php等技术了解并不深,基本上都是参照别的大佬的文章 ...

  3. 搭建XSS (跨网站指令码) 测试平台

    跨网站指令码(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是代码注入的一种.它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受 ...

  4. 手把手教你搭建XSS平台

    文章目录 前言 一.源码及运行环境准备 (一)XSS平台源码从哪里下载? (二)操作系统和工具的准备 二.平台搭建 (一)新建网站目录 (二)导入数据库 (三)修改数据库 (四)修改配置文件 1.co ...

  5. 怎么搭建xss平台云服务器,最详细搭建xss平台

    hello 大家好 我是Si Lun 今天来教大家搭建xss平台吧 就在刚刚老夫也是刚刚搭建完了,亲测可用, 拿出来跟大家分享下,其实自己没有必要去搭建,外面一堆xss平台,但是如何搭建的,还是要知道 ...

  6. 【译文】用Spring Cloud和Docker搭建微服务平台

    by Kenny Bastani Sunday, July 12, 2015 转自:http://www.kennybastani.com/2015/07/spring-cloud-docker-mi ...

  7. 架构 | 如何从零开始搭建高性能直播平台?

    GitChat 作者:七夜 前言 现在直播已经成为移动互联网时代一个新的重要流量入口,从YY.斗鱼到花椒直播,直播已经成为人们分享交流的新方式,应用场景众多,主要分为: 金融类直播:金融直播可应用于实 ...

  8. 用Spring Cloud和Docker搭建微服务平台

    This blog series will introduce you to some of the foundational concepts of building a microservice- ...

  9. GitChat·架构 | 如何从零开始搭建高性能直播平台?

    GitChat 作者:七夜 前言 现在直播已经成为移动互联网时代一个新的重要流量入口,从YY.斗鱼到花椒直播,直播已经成为人们分享交流的新方式,应用场景众多,主要分为: 金融类直播:金融直播可应用于实 ...

  10. 第4天-搭建项目(快速搭建电商平台后台管理系统及逆向生成微服务基本功能)

    1.快速搭建电商平台后台管理系统 目前在Gitee开源软件中,人人开源 和 若依 关注度比较高,优品电商平台后台系统采用人人开源的框架 来快速构建,完成基本的CRUD,开发更加关注复杂业务.高并发.高 ...

最新文章

  1. LINUX基本命令行手册一
  2. Oracle undo表空间爆满的解决
  3. windows下挂载ext4_WSL2 支持挂载物理磁盘,Windows 可直接访问 ext4
  4. 使用wxpy这个基于python实现的微信工具库的一些常见问题
  5. Java面试面向对象三大特征,Java面试经典基础问答三
  6. java default修饰符_2019最新java面试题附答案
  7. 【SIS-OAS 1.52.0】【C03-测试报告】常规版本回归测试报告-------回归测试报告模板...
  8. 在C#中,不安装Oracle客户端如何连接Oracle数据库
  9. 018年,这种员工,开再高的工资都要留住
  10. 说说代码质量、代码安全和软件测试那些事
  11. 【链表递归构造二叉树】LeetCode 109. Convert Sorted List to Binary Search Tree
  12. python怎么画小海龟_python画图之“小海龟”turtle
  13. CocoStudio 的使用
  14. LabVIEW编程LabVIEW开发 固高运动控制器例程与相关资料
  15. 2022-2027年中国智能服务机器人行业发展监测及投资战略研究报告
  16. SKYPE的BUG 7/8
  17. yml文件中${}的使用
  18. 【无标题】西门子smart触摸屏连接1200PLC
  19. OpenCL编程初探
  20. 小白大学生学习MyBatis(二)

热门文章

  1. mysql5.7.24怎么打开_mysql-5.7.24-winx64安装教程
  2. 饿了吗商品列表_仅仅一字之差,饿了么起诉饿了吗
  3. html页面调用存储过程,用WebBrowser实现HTML界面的应用
  4. 【各种信噪比联系与区别详解】实信号、复信号Es、N0、符号信噪比EsN0、带内信噪比、比特信噪比EbN0、SNR的含义及关系详解
  5. 计算机二级web题目(7.2)--基本操作题1
  6. GIS集成技术之二:数据集成
  7. linux文件属性之用户和组基础知识
  8. [ZJOI2012]数列
  9. 【数据挖掘导论】——数据质量
  10. 汇编学习笔记(3)-80x86指令集