专家原创Xss平台使用心得

Posted 2021-04-29 VIPTEST

这是 VIPTEST 的第 046期内容

前言！！！

 
   
   
 

  
    
    
  
网络安全是个很大的范围，包罗万象，技术层面涉及之广、涉及之深，在个人看来，都高于普通的日常开发，其中安全测试在测试行业也属于一个重要的职业方向，BAT等公司都有独立的安全测试部门，包含防Xss攻击、防Sql注入、防流量攻击、防域名攻击等，黑客都会租用特定的服务器，更高级的会拥有自己的一整套系统，用于威胁企业产品。编写本篇博客的源头在于17年所负责产品曾遭受一个玩家的恶意攻击，所使用工具就是Xss平台，故在此有心编写一个简单的免费版Xss平台搭建过程和使用心得，用于提醒，仅可做入门和学习使用。
 
   
   
 

平台源码

 
   
   
 

  
    
    
  
https://pan.baidu.com/s/1HHrXSh8U8dSJiUjAgkOSrw
  
    
    
  
提取码：ts6s
 
   
   
 

系统要求

这次Xss平台搭建选用的是centos6.5系统，其他linux也差不多。
（安装linux系统后，记得要先配置网卡才能使用网络，具体在/ect/sysconfig/network-scripts/ifcfg-eth0 文件）

环境搭建

 
   
   
 

  
    
    
  
首先是下载apache的环境，centos已经集成好了。`yum -y install httpd`,然后当然是一大堆信息，最后显示Complete!成功了。
  
    
    
  
然后安装php环境，可以解析php的内容。`yum -y install php`
  
    
    
  
OK，安装完毕，我们测试下，centos中安装完apache默认的网站根路径在/var/www/html/下，我们建立一个index.php文件作为测试：'touch /var/www/html/index.php' `vim /var/www/html/index.php`
  
    
    
  
使用vi打开，我们填入phpinfo函数。```<?php phpinfo()?>```
  
    
    
  
启动httpd 服务。`service httpd restart`，访问http://机器ip，查看到php信息代表启动成功；
  
    
    
  
下载mysql数据库。`yum -y install mysql mysql-server`，一个是mysql连接器，一个是mysql服务器
  
    
    
  
数据库初始化。`service mysqld start`
  
    
    
  
给root用户设置密码。`mysqladmin -u root password 密码`
  
    
    
  
安装php对数据库的支持。`yum install php-mysql`
  
    
    
  
重启apache服务器。`service httpd restart`。刷新phpinfo页面，如果看到mysql和mysqli说明php和mysql已经连接上了。
 
   
   
 

平台配置

 
   
   
 

  
    
    
  
上传Xss的源码到目标机器，并解压。`unzip xssplatform.zip`
  
    
    
  
创建一个数据库和数据库的用户（当然也能用root，用root麻烦会少一点）。`mysql -u root -p` `CREATE USER xsser IDENTIFIED BY '123456';` `CREATE DATABASE xss;`
  
    
    
  
把xss数据库的所有权限赋给xsser。`GRANT ALL PRIVILEGES ON xss.* TO 'xsser'@'%' IDENTIFIED BY '123456';`
  
    
    
  
修改下config文件，让xss平台能和数据库交互。修改信息如下：`$config['dbUser']='xsser';  $config['dbPwd']='123456';  $config['database']='xss';  $config['register'] ='invite';  $config['urlroot']='http://机器ip/xssplatform';`
  
    
    
  
把xss平台的初始数据(xssplantform.sql文件)导入进我们的mysql数据库。`mysql -u root -p xss <xssplatform.sql`
  
    
    
  
更改这个平台源码文件的用户权限。`chown -R apache xssplatform` `chgrp -R apache xssplatform`
  
    
    
  
将数据库中的oc_module表中的内容改为自己的IP或域名。`UPDATE oc_module SET code=REPLACE(code, 'http://xsser.me', 'http://机器ip/xssplatform')`
  
    
    
  

 
   
   
 

使用要点

 
   
   
 

  
    
    
  
这部分源码只包含默认模块（无keepsession、keepsession）/apache httponly bypass/xss.js/AJAX POST、GET操作/基础认证钓鱼 这几个基础模块功能，可做获取浏览器cookie等需求，这个是免费版，如想支持更多功能，估计就得花钱购买了
  
    
    
  
创建测试项目时，可在自定义代码输入框，输入编写的javascript代码，如基本的alert恶意弹框，最终会将勾选功能的js源码和自定义编写的代码有效的拼接在一起
  
    
    
  
项目内容出会显示个‘安装插件’的按钮，这个功能暂不支持，可忽略
  
    
    
  
config.php文件有$config['register'] 用于更改平台的用户注册模式，normal,正常;invite,只允许邀请注册;close,关闭注册功能 注：当邀请开启时,未生成邀请码,邀请将不生效
  
    
    
  
邀请码生成在管理员用户的右上角的“邀请”按钮，分为生成奖品邀请码（暂时无用）、生成其他邀请码（注册使用）
  
    
    
  
是否为管理员通过数据库中的oc_user表中的adminLevel字段控制，1位是管理员
 
   
   
 

后续

 
   
   
 

  
    
    
  
安装配置期间如遇上述没有提及的问题，可在下方留言，我会尽快回复，协助解决。
 
   
   
 

- end -

---

VIPTEST

公益之路，持续前行！