搭建xss-platform平台
这篇更详细,对蓝莲花的XSS有更详细的说明
https://blog.csdn.net/weixin_50464560/article/details/115360092
https://bbs.secgeeker.net/thread-1519-1-1.html
搭建xss-platform平台
一直想搭在公网搭建自己的XSS平台用来验证XSS漏洞,使用别人的平台自己心里总会有担心被摘果子的顾虑,前几天参考了不少前人的博客,终于搭建好了,搭建的途中也遇到了不少坑,故把搭建的经验分享出来,大佬轻喷。
先上github上面溜达了一圈,笔者搭建的环境是windows服务器+phpstudy,所以对应比较好的选择是:xss-platform或者BlueLotus_XSS,因为还没有学docker,所以这里就没有考虑使用docker进行搭建。
这两款XSS平台的搭建过程如下:
xss-platform是一个非常经典的XSS渗透测试管理系统,原作者在2011年所开发,由于后来长时间没有人维护,导致最开始的版本在php7的环境下无法运行,但是github上面有大佬已经将源代码移植到了php7环境中,感兴趣的朋友可以去看看,这里我们还是介绍xss-platform原版的安装。
xss-platform源代码下载:https://github.com/thickforest/xss_platform
下载了之后,将其解压在www目录下的XSS目录下
然后修改config.php配置文件。
主要需要修改的地方已经使用箭头标注出来了,数据库用户根据自己的情况修改,因为我的mysql用户名还是root没有修改,所以用户名就不用修改了,数据库密码修改为自己数据库的密码,数据库名修改为待会我们在mysql数据库里面新建的一个储存xss平台数据的数据库名称,注册配置改为normal,因为默认的invite是需要邀请注册的,而我们需要先自己注册一个账户(PS:也可以直接在数据库里面添加,不过这样要麻烦一些),网站url路径修改为在www目录下的路径,之前我们的文件夹是www/XSS/….,所以这里就是http://ip/XSS。
接着我们去数据库里面新建储存xss数据的库。
新建数据库可以在mysql命令行里或者在phpmyadmin里面进行操作,为了后面导入xssplatform.sql方便,这里我们直接在phpmyadmin里面进行。
因为之前我们在config.php里面已经设置数据库名为xss,所以这里新建一个名为xss的数据库对应,
创建成功后进入xss数据库
点击导入,导入xssplatform.sql文件,sql文件的位置在
导入成功后可以看到xss数据库里面多了这几张表
接着我们执行一条sql语句,因为xss数据库里面的sql文件里面的站点域名是作者的,我们将其更新替换成自己的。
1
2
|
<code-pre class= "code-pre" id= "pre-RyM637" ><code-line class= "line-numbers-rows" ></code-line> UPDATE oc_module SET
<code-line class= "line-numbers-rows" ></code-line>code= REPLACE (code, 'http://xsser.me' , 'http://47.94.132.67/XSS' ) </code-pre>
|
这里的域名替换成自己的
执行后可以看到更新成功
然后我们配置伪静态页面(.htaccess),这是必须要配置的,否则xss平台生成的网址将打不到他人的cookie。(我就是偷懒这里没弄好所以后来找了好久的原因。
可以看到源码下载了之后里面有一个.htaccess文件,我们将其修改成适合自己环境的,如果没有的话就自己新建一个。
1,如果是Apache服务器,.htaccess的一个模板如下:
RewriteBase /
RewriteRule ^([0-9a-zA-Z]{6})$ /index.php?do=code&urlKey=$1 [L]
RewriteRule ^do/auth/(\w+?)(/domain/([\w.]+?))?$ /index.php?do=do&auth=$1&domain=$3 [L]
RewriteRule ^register/(.?)$ /index.php?do=register&key=$1 [L]
RewriteRule ^register-validate/(.?)$ /index.php?do=register&act=validate&key=$1 [L]
2,如果是Nginx服务器,则一个模板如下:
rewrite "^/do/auth/(w+?)(/domain/([w.]+?))?$" /index.php?do=do&auth=$1&domain=$3 break;
rewrite "^/register/(.?)$" /index.php?do=register&key=$1 break;
rewrite "^/register-validate/(.?)$" /index.php?do=register&act=validate&key=$1 break;
rewrite "^/login$" /index.php?do=login break;
值得注意的是,如果我们将.htaccess文件直接这样写的话,是无法访问js文件的。
例如我们将源代码放在phpstudy(Apache环境)的WWW目录下的XSS文件夹里,.htaccess就应该是:
RewriteBase /
RewriteRule ^([0-9a-zA-Z]{6})$ XSS/index.php?do=code&urlKey=$1 [L]
RewriteRule ^do/auth/(\w+?)(/domain/([\w.]+?))?$ XSS/index.php?do=do&auth=$1&domain=$3 [L]
RewriteRule ^register/(.?)$ XSS/index.php?do=register&key=$1 [L]
RewriteRule ^register-validate/(.?)$ XSS/index.php?do=register&act=validate&key=$1 [L]
这样我们访问http://127.0.0.2/XSS/E2xAAk才会出现我们构造的恶意js代码。
至此xss-platform平台就安装完成了
因为我们之前将注册配置改成了normal,即任何人都可以注册,所以我们先注册一个账号。
注册码随意填写
注册成功了之后我们到phpmyadmin的xss数据库里面将我们升级成管理员。
我们将adminLevel从0修改为1,就将我们提升成了管理员,也就是可以发放注册码进行邀请注册。
然后回到config.php里面把注册配置改成invite
这样的话就大功告成了,搭建好了之后还是挺有成就感的。
接着介绍BlueLotus_XSS平台的搭建
BlueLotus_XSS的源代码在这里:(可以自己在github上找,这个已经不是最新版本了)https://github.com/trysec/BlueLotus_XSSReceiver
其安装起来相比较于xss-platform更加简单,如果说xss-platform是一个多人使用的堡垒,而BlueLotus_XSS更像是一个人使用的瑞士军刀。
我们下载了之后也解压在WWW目录下
因为我解压在www/BlueLotus_XSSReceiver-master文件夹下,所以我们访问http://ip/BlueLotus_XSSReceiver-master/admin.php登录后台
我们点击安装直接在页面上进行安装。
必要的需要修改的地方箭头已经标注了。
我们修改好了之后直接登录。
现在就直接可以使用了。
同时感谢编写平台代码的师傅,后面很长一段时间估计我都会在学php,所以自己应该也会写一个xss平台,希望不要咕咕咕了。
PS:之前图片挂掉了,现在自建图床之后应该可以坚持很久hhh(XSS平台还是没有写,去忙其他的事情了,继续沉淀自己趴
__EOF__
搭建xss-platform平台相关推荐
- XSS测试平台搭建(超详细)
1.拉取镜像 docker pull daocloud.io/library/mysql:5.6 2.运行mysql服务,密码为root,端口号为3306 docker run --name mysq ...
- Ubuntu搭建XSS平台 nginx+php5.6+mysql
重要! 因为网上搭建XSS平台的大多数都是用Apache来做Web服务器的,所以我就找了些资料用nginx进行搭建,其实很简单. 本人还是个小白,对php等技术了解并不深,基本上都是参照别的大佬的文章 ...
- 搭建XSS (跨网站指令码) 测试平台
跨网站指令码(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是代码注入的一种.它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受 ...
- 手把手教你搭建XSS平台
文章目录 前言 一.源码及运行环境准备 (一)XSS平台源码从哪里下载? (二)操作系统和工具的准备 二.平台搭建 (一)新建网站目录 (二)导入数据库 (三)修改数据库 (四)修改配置文件 1.co ...
- 怎么搭建xss平台云服务器,最详细搭建xss平台
hello 大家好 我是Si Lun 今天来教大家搭建xss平台吧 就在刚刚老夫也是刚刚搭建完了,亲测可用, 拿出来跟大家分享下,其实自己没有必要去搭建,外面一堆xss平台,但是如何搭建的,还是要知道 ...
- 【译文】用Spring Cloud和Docker搭建微服务平台
by Kenny Bastani Sunday, July 12, 2015 转自:http://www.kennybastani.com/2015/07/spring-cloud-docker-mi ...
- 架构 | 如何从零开始搭建高性能直播平台?
GitChat 作者:七夜 前言 现在直播已经成为移动互联网时代一个新的重要流量入口,从YY.斗鱼到花椒直播,直播已经成为人们分享交流的新方式,应用场景众多,主要分为: 金融类直播:金融直播可应用于实 ...
- 用Spring Cloud和Docker搭建微服务平台
This blog series will introduce you to some of the foundational concepts of building a microservice- ...
- GitChat·架构 | 如何从零开始搭建高性能直播平台?
GitChat 作者:七夜 前言 现在直播已经成为移动互联网时代一个新的重要流量入口,从YY.斗鱼到花椒直播,直播已经成为人们分享交流的新方式,应用场景众多,主要分为: 金融类直播:金融直播可应用于实 ...
- 第4天-搭建项目(快速搭建电商平台后台管理系统及逆向生成微服务基本功能)
1.快速搭建电商平台后台管理系统 目前在Gitee开源软件中,人人开源 和 若依 关注度比较高,优品电商平台后台系统采用人人开源的框架 来快速构建,完成基本的CRUD,开发更加关注复杂业务.高并发.高 ...
最新文章
- LINUX基本命令行手册一
- Oracle undo表空间爆满的解决
- windows下挂载ext4_WSL2 支持挂载物理磁盘,Windows 可直接访问 ext4
- 使用wxpy这个基于python实现的微信工具库的一些常见问题
- Java面试面向对象三大特征,Java面试经典基础问答三
- java default修饰符_2019最新java面试题附答案
- 【SIS-OAS 1.52.0】【C03-测试报告】常规版本回归测试报告-------回归测试报告模板...
- 在C#中,不安装Oracle客户端如何连接Oracle数据库
- 018年,这种员工,开再高的工资都要留住
- 说说代码质量、代码安全和软件测试那些事
- 【链表递归构造二叉树】LeetCode 109. Convert Sorted List to Binary Search Tree
- python怎么画小海龟_python画图之“小海龟”turtle
- CocoStudio 的使用
- LabVIEW编程LabVIEW开发 固高运动控制器例程与相关资料
- 2022-2027年中国智能服务机器人行业发展监测及投资战略研究报告
- SKYPE的BUG 7/8
- yml文件中${}的使用
- 【无标题】西门子smart触摸屏连接1200PLC
- OpenCL编程初探
- 小白大学生学习MyBatis(二)
热门文章
- mysql5.7.24怎么打开_mysql-5.7.24-winx64安装教程
- 饿了吗商品列表_仅仅一字之差,饿了么起诉饿了吗
- html页面调用存储过程,用WebBrowser实现HTML界面的应用
- 【各种信噪比联系与区别详解】实信号、复信号Es、N0、符号信噪比EsN0、带内信噪比、比特信噪比EbN0、SNR的含义及关系详解
- 计算机二级web题目(7.2)--基本操作题1
- GIS集成技术之二:数据集成
- linux文件属性之用户和组基础知识
- [ZJOI2012]数列
- 【数据挖掘导论】——数据质量
- 汇编学习笔记(3)-80x86指令集