XSS Platform本地搭建实例教程
Posted 甜橙安全应急响应中心
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS Platform本地搭建实例教程相关的知识,希望对你有一定的参考价值。
XSS Platform本地搭建实例教程
XSS漏洞的利用一直以来有各种各样的方式,不过XSS平台无疑是其中的佼佼者。XSS Platform集成了一些常见的XSS Payload,可以很方便的利用漏洞对网站进行渗透。本文详细介绍了一套在本地搭建XSS Platform的教程。
首先准备好搭建XSS平台所需要的资源,xampp和xss源代码,xampp安装好之后,将xss平台的源码拷贝到xampp安装目录/htdocs目录下。
修改将htdocs目录下的xss目录下的config.php中22行,将urlroot的值从http://localhost/修改成http://localhost/xss/,如图
启动xampp的apache和mysql
通过浏览器访问http://localhost/xss/时,会显示xss平台的登陆页面。
首先访问http://localhost/phpmyadmin/,来打开数据库web管理页面。由于现在root用户密码为空,首先修改数据库root用户密码,具体操作:点击账户->在(hostname为localhost的)root上点击修改权限,点击修改密码,输入密码点击执行,就成功更改了数据库root用户的密码。
由于数据库root用户的密码已经改变,因此使用之前配置的web页面时,访问不了,需要我们修改配置文件中root用户的密码,打开xampp控制面板,打开config.inc.php文件,配置root用户的密码。
然后刷新http://localhost/phpmyadmin/,发现可以正常访问了。
修改xss平台的相关配置文件,首先修改config.php文件中数据库用户root的密码
创建数据库poppy,使用xss.sql中的SQL语句导入数据
拷贝xss.sql文件中SQL语句在SQL面板中点击执行
通过生成邀请码来注册用户,注释掉htdocs/xss/source/user.php文件中的第10行和第49行,来使自己可以访问生成邀请码的链接。
在浏览器中访问http://localhost/xss/index.php?do=user&act=invite 来获取邀请码,然后注册登陆。
1
注册用户
注册用户1:1111
邀请码:48d41de9020969e802adab2765ad368d
密码:666666
邮箱:********@qq.com
注册用户2:2222
邀请码:ac5a76221f1948ede7474bd0f35dcd36
密码:666666
邮箱:********@qq.com
进入数据库,将1111用户的adminLevel修改为1,然后去掉user.php中上面添加的注释,并且在第15行case'invite':之后新加下面的一行代码,做权限控制。
if($user->adminLevel<=0)ShowError('没有操作权限',URL_ROOT.'/index.php');
看看1111和2222的区别
使用devil登陆之后,访问http://localhost/xss//index.php?do=user&act=invite发现可以获取邀请码,使用evil登陆,发现不能获取邀请码,没有这样的权限。
注册模块的三种模式改变,在文件/config.php的第18行
$config['register']='close'; //normal,正常;invite,只允许邀请注册;close,关闭注册功能注:当邀请开启时,未生成邀请码,邀请将不生效。
XSS平台搭建成功,登陆创建自己的模版。
1
END
1
以上是关于XSS Platform本地搭建实例教程的主要内容,如果未能解决你的问题,请参考以下文章
dubbo+zookeeper+springmvc搭建实例教程