XSS平台搭建

Posted nianyuxue87

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS平台搭建相关的知识,希望对你有一定的参考价值。

简介:

在实施xss攻击的时候,需要有一个平台用来收集攻击获得猎物(cookie,用户名密码等);xss平台就是这样一个用于收取cookie,账号等信息的平台;可以使用外网的xss平台来测试外网的网站;也可以自己在本地搭建xss平台,测试本地搭建的web网站DVWA的漏洞

试验中,使用的xss平台是xsser

直接创建项目:在网站有xss的地方插入项目中的代码,执行的时候会把对应的信息发送到平台上。具体看平台上的说明。

基础认证钓鱼模块:
插入xss后,用户访问的时候会弹出一个登陆框,用于输入用户名和密码。
如果用户粗心地输入了自己的账号和密码,那么就可以在平台上看到输入的信息。

一、下载源码

 

把这些文件复制到网站目录xsser中

 

二、配置环境

步骤: 

1、修改config.php里面的数据库连接字段,包括用户名,密码,数据库名,访问URL起始和伪静态的设置。 

 

 

1.1在phpmyadmin中新建xssplatform数据库

 

1.2修改访问的url起始地址为:http://localhost/xsser 也就是目录名

2、在web根目录下有一个xssplatform.sql,在phpmyadmin中创建好数据库后导入库。 

2.1phpmyadmin导入SQL

执行之后会多出9张表

 

3、进入数据库执行语句修改域名为自己的: 

UPDATE oc_module SET 
code=REPLACE(code,\'http://xsser.me\',\'http://localhost/xsser\') 



4.修改themes\\default\\templates\\register.html中的提交按钮的源码为:注如果修改了下面注册的页面就不用修改了!!

行53  
<input id="btnRegister" type="button" onclick="Register()" value="提交注册" />  


修改为  
<input id="btnRegister" type="submit" value="提交注册" />  

 备注:XSS1.7版本这里不需要修改

5.rewrite规则

在web根目录下建立.htaccess伪静态文件

 

并加入以下内容、注意如果伪静态没配置成功,那么下面xsser生成的项目中的URL将不能访问!!!

范例: 

Apache:

  1. RewriteEngine On   
  2. RewriteRule ^([0-9a-zA-Z]{6})$ /xsser/index.php?do=code&urlKey=$1 [L]   
  3. RewriteRule ^do/auth/(\\w+?)(/domain/([\\w\\.]+?))?$ /xsser/index.php?do=do&auth=$1&domain=$3 [L]   
  4. RewriteRule ^register/(.*?)$ /xsser/index.php?do=register&key=$1 [L]   
  5. RewriteRule ^register-validate/(.*?)$ /xsser/index.php?do=register&act=validate&key=$1 [L]   
  6. RewriteRule ^login$ /xsser/index.php?do=login [L]  

nginx

  1. rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 last;   
  2. rewrite "^/do/auth/(\\w+?)(/domain/([\\w\\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last;   
  3. rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 last;   
  4. rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 last;  

三、使用

我们访问这个地址:http://localhost/xsser/index.php 

 

在注册之前、首先把注册配置修改为normal进行保存

然后就可以注册了、邀请码随便填写,其他的都是注册的时候需要的

 

就完成了注册。注册成功之后他会跳到这个页面

 

然后我们到数据库中的user表里面

 

 

四、测试

 

新建一个项目、测试其中的地址

 

 

 

 

点击下一步

 

 

 

点击下一步创建完成。

 

 

能访问:

 

 

说明Apache伪静态配置成功、如果伪静态没有配置成功就会出现下面的错误

 

到此,xss平台搭建完成

以上是关于XSS平台搭建的主要内容,如果未能解决你的问题,请参考以下文章

搭建个人XSS平台

搭建简易xss平台

搭建公网XSS平台

XSS平台的简单搭建和获取cookie

XSS平台搭建及利用

搭建属于自己的xss平台