1.從本書《Web安全攻防-滲透測試實戰指南》的同步網站上下載安裝文件。https://www.ms08067.com/
2.解壓文件,解壓密碼:ms08067.com
3.將文件拷貝到www目錄下。
4.在數據庫中新建一個xssplatform的數據庫。
5.將www\xss目錄下源碼包中的xssplatform.sql文件導入到xss數據庫中。
6.修改config.php中的數據庫鏈接字段,包括用戶名、密碼和數據庫名為xssplatform。
7.在config.php中將注冊配置中的invite改為normal。
8.config.php中url配置中改成http://127.0.0.1/xss
9.數據庫中執行查詢語句update oc_module set
code=REPLACE(code,’http://xsser.me’,’http://127.0.0.1/xss’)
10.打開網頁,點擊注冊
11.打開xss\templates_c下的文件…register.html.php,找到 提交注冊,將“btn btn-success”改為“submit”。
12.打開www\xss\themes\default\templates目錄下的文件register.html,找到提交注冊,同樣將“btn btn-success”改為“submit”。
13.清除瀏覽器緩存,重新注冊賬號admin 123456
擴展:
14.在phpmyadmin中打開xssplatform數據庫,打開os_user,也就是剛注冊的,將adminLevel改為1,這樣就可以管理注冊邀請碼,即關閉開放注冊。
15.將congfig.php中的注冊配置中的normal改回invite。
16.在notepad++中新建一個頁面,輸入以下內容(可在網上搜索xss平台部署文檔查找):
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ index.php?do=register&key=$1
RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1
RewriteRule ^login$ index.php?do=login
</IfModule>
另存在xss目錄下,文件類型為所有類型,文件名為 .htaccess
19.用已注冊的賬號登錄,可以發現無法自由注冊新賬號,而轉為了邀請制。點擊右上角邀請,生成邀請碼,這時候可以用生成的邀請碼注冊新的賬號。