XSS測試平台是測試XSS漏洞獲取cookie並接收web頁面的平台,XSS可以做js能做的所有事情,包括但不限於竊取cookie,后台增刪文章、釣魚、利用xss漏洞進行傳播、修改網頁代碼、網站重定向、獲取用戶信息(如瀏覽器信息、IP地址等),這里使用的是基於xsser.me的源碼。
搭建步驟:
1.在Windows系統中安裝WAMP
- 下載地址:https://pan.baidu.com/s/1HY0hFnj6ywKjwHhB1vlOfg
- 解壓密碼:ms08067.com
- 雙擊安裝即可
2.下載xss測試平台安裝文件,解壓文件,將文件夾名改為xss並將其拷貝到wamp的www目錄下。
- 下載地址:https://pan.baidu.com/s/1qovj7Z-3LdDLVgh8EVkAGw
- 解壓密碼:ms08067.com
3.啟動wamp服務,打開http://localhost/phpmyadmin/,在數據庫中新建一個xssplatform數據庫,並將源碼中的xssplatform.sql文件導入到數據庫中。
4.修改config.php文件信息。
- 修改數據庫連接字段,包括用戶名、密碼和數據庫名。
- 將注冊配置中的invite改為normal。
- 修改URL配置為自己的url配置。
5.進入數據庫中執行語句修改域名為自己的url配置:
UPDATE oc_module SET code=REPLACE(code,'http://xsser.me','http://127.0.0.1/xss') ;
6.打開網頁(http://127.0.0.1/xss),點擊注冊,注冊一個用戶,此時頁面會報錯Not Found。
7.解決notfound問題
- 將www\xss\templates_c\..............register.html.php中的btn btn-success改為submit
- 將www\xss\themes\default\templates\register.html中的btn btn-success改為submit
- 清除瀏覽器緩存
8.重新注冊賬號(邀請碼隨便寫),成功。
9.到數據庫中把oc_user表中的用戶的adminLevel值改為1,這樣你就可以管理邀請碼了。
10.將config.php文件中注冊配置中的normal改為invite。
11.在xss根目錄下創建一個.htaccess文件,文件內容如下:
<IfModule mod_rewrite.c> RewriteEngine on RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1 RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3 RewriteRule ^register/(.*?)$ index.php?do=register&key=$1 RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1 RewriteRule ^login$ index.php?do=login </IfModule>
12.此時你再隨便使用邀請碼就不能注冊成功了,系統會提示你的邀請碼不正確。
13.admin用戶登錄,點擊邀請,進入邀請碼生成界面,點擊“生成其他邀請碼”,生成邀請碼,使用此邀請碼注冊新用戶方能成功。
14.補充:如果你的系統僅能本機使用http://127.0.0.1/xss/進行訪問,其他主機通過IP/xss/無法訪問,那么可以打開wamp\bin\apache\apache2.4.9\conf目錄中中的httpd.conf文件,通過如下方式進行修改
