1. xss平台搭建

l 将xss平台源码放置在网站目录下



l 进入MySQL管理界面中的phpMyAdmin界面,新建一个XSS平台的数据库



l 修改XSS源码文件目录下的config.php中的数据库连接字段,包括用户名、密码、和数据库名。



l 进入phoMyAdmin选择XSS平台数据库,导入源码包中的xssplatform.sql文件

l 执行如下SQL命令,将数据库中原有URL地址修改为自己的URL

UPDATE oc_module SET

code=REPLACE(code,'http://xsser.me','http://127.0.0.1/XSS')



![img](file:///C:\Users\admin\AppData\Local\Temp\ksohtml\wps7645.tmp.jpg)



l 将authtest.php中的网址替换为自己的URL

l 注册帐号,将config.php中的invite改为normal,即为开放注册,注册成功后再将值修改为invite,即关闭开放注册功能。

l 在phpMyAdmin中选择oc_user,将注册用过的adminLevel值改为1

l 配置伪静态文件.htaccess,在平台跟目录下创建.htaccess文件,根据中间件类型写入代码

l 平台搭建成功,可以登录平台创建项目

2. 测试xss漏洞

l 在xss平台点击“我的项目”中创建,项目名称与描述自定义填写,勾选“默认模块”单击下一步,生成xss项目。

l 以DVWA平台为例测试,复制利用代码,插入可能存在xss漏洞的位置,查看平台返回结果

观察到获取到了Cookie

x 所需代码

伪静态文件**.htaccess**

Apache环境

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^([0-9a-zA-Z]{6})$ /XSS/index.php?do=code&urlKey=$1 [L]

RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /XSS/index.php?do=do&auth=$1&domain=$3 [L]

RewriteRule ^register/(.*?)$ /XSS/index.php?do=register&key=$1 [L]

RewriteRule ^register-validate/(.*?)$ /XSS/index.php?do=register&act=validate&key=$1 [L]

</IfModule>

Nginx环境

rewrite "^/([0-9a-zA-Z]{6})$" /XSS//index.php?do=code&urlKey=$1 last; 

rewrite "^/do/auth/(\w+?)(/domain/([\w\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last; 

rewrite "^/register/(.*?)$" /XSS//index.php?do=register&key=$1 last; 

rewrite "^/register-validate/(.*?)$" /XSS//index.php?do=register&act=validate&key=$1 last;

xss平台搭建的更多相关文章

  1. web安全后渗透--XSS平台搭建及使用

     xss平台搭建 1.申请一个云主机来进行建站:149.28.xx.xx 2.安装lnmp: wget http://soft.vpser.net/lnmp/lnmp1.5.tar.gz -cO ln ...

  2. xss小结-从xss平台搭建到csp规则

    0x00前言 xss是跨站脚本攻击,利用嵌入js代码达到‘控制’对方浏览器的作用,测试的时候我们是用alert(1)弹窗,而做CTF也好,实际中的漏洞利用也好一般是用xss获取管理员的cookie 0 ...

  3. 从零开始搭建轻量级个人XSS平台

    一. 前言 决定搭建XSS平台是因为自己想深入学习一下XSS相关的知识,多多进行实践,上网搜索了一下XSS平台有很多,但是总觉得不是很安全,这个毕竟敏感信息要传输到陌生人的服务器上,而且服务器端测试代 ...

  4. Web安全之XSS Platform搭建及使用实践

    Web安全之XSS Platform搭建及使用实践 一.背景 XSS Platform 是一个非常经典的XSS渗透测试管理系统,原作者在2011年所开发,由于后来长时间没有人维护,导致目前在PHP7环 ...

  5. 构造个人轻量级XSS平台获取管理员cookie并登录

    一.前言 本平台是个人轻量级XSS测试平台,仅作为练习参考. 二.实验环境 服务器操作系统:Centos 7 Web容器:Apache 三.平台搭建过程 安装Apache 安装PHP 安装Git工具 ...

  6. 【iOS】Jenkins Gitlab持续集成打包平台搭建

    Jenkins Gitlab持续集成打包平台搭建 SkySeraph July. 18th 2016 Email:skyseraph00@163.com 更多精彩请直接访问SkySeraph个人站点: ...

  7. hadoop伪分布式平台搭建(centos 6.3)

    最近要写一个数据量较大的程序,所以想搭建一个hbase平台试试.搭建hbase伪分布式平台,需要先搭建hadoop平台.本文主要介绍伪分布式平台搭建过程. 目录: 一.前言 二.环境搭建 三.命令测试 ...

  8. LNMP平台搭建---MySQL安装篇

    在前两篇中,安装了一个基本的Web服务器,但是只能提供静态网页查看,要做成动态网站,就必须要数据库或其他编程语言支持了,这里先介绍MySQL数据库的安装. MySQL是一个开源的数据库,在互联网行业应 ...

  9. 基于Moodle的IT课程辅助教育平台搭建

    基于Moodle的IT课程辅助教育平台搭建 Moodle是一个开源课程管理系统(CMS),也被称为学习管理系统(LMS)或虚拟学习环境(VLE).它已成为深受世界各地教育工作者喜爱的一种为学生建立网上 ...

随机推荐

  1. c++ 指针数组与指向数组的指针

    指针数组与指向数组的指针 1.int (*a)[10]-->指向数组的指针 a是一个二级指针,可认为是一个二维数组的首地址,指向一个一维数组,数组存储了10个int数据. int arr1[10 ...

  2. 聊聊几个阿里 P8、P9 程序员的故事

    大家好,我是对白. 阿里 P8 程序员年薪百万已经是公开的秘密了,有人关心他们年薪百万,而我更加关注阿里这些 P8.P9 程序员的成长故事,在聊这些大牛的故事之前,跟大家稍微简单聊下阿里技术人等级制度 ...

  3. 本地虚拟机在NAT网络连接模式下如何设置才可以访问外网以及使用Xshell远程连接

    本文演示环境: 笔记本电脑系统:windows 7 虚拟机系统:CentOS 7 虚拟化软件:VMware Workstation 12 远程连接工具:Xshell 5 第一步: 打开虚拟网络编辑器 ...

  4. 扫盲贴:2021 CSS 最冷门特性都是些啥?

    最近几年 CSS 界的大事之一是每年年底的 <State Of CSS>,也就是 CSS 现状调查,去年年底发布了<State Of CSS 2021>.其中关于特性这一章,会 ...

  5. [杂记]对RSA算法的数学原理的一点思考

  6. 深度学习分类问题中accuracy等评价指标的理解

    在处理深度学习分类问题时,会用到一些评价指标,如accuracy(准确率)等.刚开始接触时会感觉有点多有点绕,不太好理解.本文写出我的理解,同时以语音唤醒(唤醒词识别)来举例,希望能加深理解这些指标. ...

  7. Keepalived配置重载(reload)实现方法

    一.前言 Keepalived运行过程中,可能存在更改配置的需求,例如修改virtual_ipaddress,virtual_router_id,priority等参数.在keepalived不重启, ...

  8. 如何通过xstart远程连接桌面

    转至:https://www.cnblogs.com/LiuChang-blog/p/12324193.html 1.1.安装依赖包: (1)安装语言包: [root@slave-node2 ~]# ...

  9. (第三章)TF框架之实现验证码识别

    这里实现一个用神经网络(卷积神经网络也可以)实现验证码识别的小案例,主要记录本人做这个案例的流程,不会像之前那么详细,主要用作个人记录用... 这里是验证码的四个字母,被one-hot编码后形成的四个 ...

  10. Go切片全解析

    Go切片全解析 目录结构: 数组 切片 底层结构 创建 普通声明 make方式 截取 边界问题 追加 拓展表达式 扩容机制 切片传递的坑 切片的拷贝 浅拷贝 深拷贝 数组 var n [4]int f ...