XSS平台搭建

简介:

在实施xss攻击的时候,需要有一个平台用来收集攻击获得猎物(cookie,用户名密码等);xss平台就是这样一个用于收取cookie,账号等信息的平台;可以使用外网的xss平台来测试外网的网站;也可以自己在本地搭建xss平台,测试本地搭建的web网站DVWA的漏洞

试验中,使用的xss平台是xsser

直接创建项目:在网站有xss的地方插入项目中的代码,执行的时候会把对应的信息发送到平台上。具体看平台上的说明。

基础认证钓鱼模块:
插入xss后,用户访问的时候会弹出一个登陆框,用于输入用户名和密码。
如果用户粗心地输入了自己的账号和密码,那么就可以在平台上看到输入的信息。

一、下载源码

把这些文件复制到网站目录xsser中

二、配置环境

步骤:

1、修改config.php里面的数据库连接字段,包括用户名,密码,数据库名,访问URL起始和伪静态的设置。

1.1在phpmyadmin中新建xssplatform数据库

1.2修改访问的url起始地址为:http://localhost/xsser 也就是目录名

2、在web根目录下有一个xssplatform.sql,在phpmyadmin中创建好数据库后导入库。

2.1phpmyadmin导入SQL

执行之后会多出9张表

3、进入数据库执行语句修改域名为自己的: 

UPDATE oc_module SET 
code=REPLACE(code,‘http://xsser.me‘,‘http://localhost/xsser‘)

4.修改themes\default\templates\register.html中的提交按钮的源码为:注如果修改了下面注册的页面就不用修改了!!

行53  
<input id="btnRegister" type="button" onclick="Register()" value="提交注册" />

修改为  
<input id="btnRegister" type="submit" value="提交注册" />

 备注:XSS1.7版本这里不需要修改

5.rewrite规则

在web根目录下建立.htaccess伪静态文件

并加入以下内容、注意如果伪静态没配置成功,那么下面xsser生成的项目中的URL将不能访问!!!

范例:

Apache:

  1. RewriteEngine On
  2. RewriteRule ^([0-9a-zA-Z]{6})$ /xsser/index.php?do=code&urlKey=$1 [L]
  3. RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /xsser/index.php?do=do&auth=$1&domain=$3 [L]
  4. RewriteRule ^register/(.*?)$ /xsser/index.php?do=register&key=$1 [L]
  5. RewriteRule ^register-validate/(.*?)$ /xsser/index.php?do=register&act=validate&key=$1 [L]
  6. RewriteRule ^login$ /xsser/index.php?do=login [L]

Nginx:

  1. rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 last;
  2. rewrite "^/do/auth/(\w+?)(/domain/([\w\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last;
  3. rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 last;
  4. rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 last;

三、使用

我们访问这个地址:http://localhost/xsser/index.php

在注册之前、首先把注册配置修改为normal进行保存

然后就可以注册了、邀请码随便填写,其他的都是注册的时候需要的

就完成了注册。注册成功之后他会跳到这个页面

然后我们到数据库中的user表里面

四、测试

新建一个项目、测试其中的地址

点击下一步

点击下一步创建完成。

能访问:

说明Apache伪静态配置成功、如果伪静态没有配置成功就会出现下面的错误

到此,xss平台搭建完成

时间: 2024-11-05 22:05:03

XSS平台搭建的相关文章

XSS平台搭建(xsser.me)

一.下载源码 地址: http://download.csdn.net/detail/u011781521/9722570 下载之后解压出来会有这么些文件 把这些文件复制到网站目录xsser中 二.配置环境 步骤: 1.修改config.PHP里面的数据库连接字段,包括用户名,密码,数据库名,访问URL起始和伪静态的设置. 1.1在phpmyadmin中新建xssplatform数据库 1.2修改访问的url起始地址为:http://localhost/xsser 也就是目录名 2.在web根目

从零开始搭建轻量级个人XSS平台

一. 前言 决定搭建XSS平台是因为自己想深入学习一下XSS相关的知识,多多进行实践,上网搜索了一下XSS平台有很多,但是总觉得不是很安全,这个毕竟敏感信息要传输到陌生人的服务器上,而且服务器端测试代码存在不可控性,所以决定自行搭建XSS平台做学习之用.在搭建完成后和我的导师徐松进行了交流,发现这款XSS平台除了在GitHub上有作者专业化的说明外,在网上没有任何关于这款XSS平台搭建方面的教程,最后在导师的鼓励和帮助下促成了这篇分享,也顺便记录一下自己所出现的问题方便以后回顾. 1.  什么是

搭建简易xss平台

这两天在看xss的东西,学习了如何搭建xss平台,在这里做个记录吧. 首先进入到原先虚拟机里搭建好的dvwa网站测试平台,开启low安全模式后就来搞一搞xss了 在网址后面加上<script>alert(1)</script>,回车后弹窗说明存在xss漏洞 得知存在漏洞后我们可以利用自己搭建的平台来盗取cookie值(首先是搭好自己的网站啦,PHPstudy.wamp什么的都行) 在网站根目录下创建一个getcookie.php文档,写入如下代码 <?php //cookie

CentOS安装beEF做XSS平台

提到xss平台,大部分人都在用xsser.me的源码搭建,xsser.me源码搭建的平台虽然好用,但是功能不够强大,比如无法和Metasploit配合使用进行更深一步的入侵测试. 这次部署邮件服务器大致分为3个步骤: 安装GEM 安装配置beEF 测试 >>安装GEM 步骤 1 » 安装rvm.导入key curl -sSL https://rvm.io/mpapis.asc | gpg2 --import 安装rvm curl -L get.rvm.io | bash -s stable 启

构造个人轻量级XSS平台获取管理员cookie并登录

一.前言 本平台是个人轻量级XSS测试平台,仅作为练习参考. 二.实验环境 服务器操作系统:Centos 6.6 Web容器:Apache 三.平台搭建过程 安装Apache 安装PHP 安装Git工具 从GitHub克隆XSS平台源码 删除默认网站内容 rm  -rf  /var/www/* 创建新的网站目录 mkdir  /var/www/xss 从GitHub克隆xss测试源码(https://github.com/firesunCN/BlueLotus_XSSReceiver.git)

Jenkins Gitlab持续集成打包平台搭建

相关概念 Jenkins Jenkins,一个用Java编写的开源的持续集成工具,提供了软件开发的持续集成服务,可监控并触发持续重复的工作,具有开源,支持多平台和插件扩展,安装简单,界面化管理等特点.更多介绍参考[维基](https://en.wikipedia.org/wiki/Jenkins_(software)介绍. Gitlab GitLab是一个利用Ruby on Rails开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目,更多介绍参考维基

Openstack平台搭建之第三天

Openstack平台搭建之第三天 Author :xxbAndy If you have any question ,please contact me by [email protected] or 371990778(qq) 注意:主控节点为server10.example.com: 新增nova节点为desktop10.example.com 在实验环境中已经对各个主机做了DNS解析 1.管理neutron节点服务,为nova-compute节点进行配置网络服务 [[email prot

微信公众平台搭建与开发(二)开发模式的搭建和关键词回复

在第一部分介绍了编辑模式,但是编辑模式有较大局限性,下面主要开始介绍开发模式,这一部门先简单介绍下开发模式的环境搭建和关键词回复. 开发模式首先要有一个虚拟主机,本人使用的是新浪开发者平台的虚拟主机,使用云豆计算流量,若成为新浪开发者用户基本上就可以免费使用了,本人注册用户所赠送的云豆不知道能用多久.当然国内比较大还有就是百度开发者平台,注册后发现部署还没有新浪的方便,并且在BAE3.0以后好像也是要收费的.有兴趣的朋友可以研究下google的开发者平台,不知道是否要收费. 在注册新浪开发者平台

cocos2d-x v3.0的window平台搭建和编译成andriod程序

首先添加这个地址到系统环境变量,path 然后打开CMD,输入如下语句 现在就可以创建一个新项目了 这样一个空的cocos2d-x v3.0的项目就创建好了 接下来编译andriod程序 先在系统环境变量中添加一个NDK_ROOT 然后打开cmd 然后就开始编译了 接下来打开ADT中的eclipse 再添加andriod文件夹到工程里 cocos2d-x v3.0的window平台搭建和编译成andriod程序,布布扣,bubuko.com