在虚拟机上搭建xss平台

前言:在实施xss攻击的时候,需要有一个平台用来收集攻击获得猎物(cookie,用户名密码等),xss.me就是这样的一个平台。文末有链接

1.将源码放进虚拟机

在这里插入图片描述
在这里插入图片描述

2.更改配置文件

进入应用根目录(不是网页根目录),找到config.php文件。
主要改3个地方:
数据库信息:账号密码要对,数据库名可以随便写一个
注册信息:将invite改为normal(即将注册功能改为正常)
URL:改为http:// 虚拟机 ip 地址 / 应用根目录
在这里插入图片描述

3.创建数据库

在数据库里创建一个数据库,库名就是刚刚在config.php文件里写的库名。我这里的库名是xssplatform
选择utf8_bin格式
在这里插入图片描述

4.导入数据库

将应用根目录下的xssplatform.sql文件导入进刚刚新建的xssplatform数据库,执行,xssplatform库里就多了9个表
在这里插入图片描述

5.修改域名

进入数据库,将http://xsser.me换成自己的域名(即之前在config.php里修改的url的值)
在这里插入图片描述

6.添加.htaccess伪静态文件

在应用根目录下建立一个.htaccess文件
直接建是不行的
在这里插入图片描述

那就新建一个1.htaccess文件
在这里插入图片描述
然后打开cmd,进入应用根目录
rename 1.htaccess .htaccess将1.htaccess重命名为.htaccess

在这里插入图片描述

在 .htaccess文件里输入以下内容

Apache

RewriteEngine On   
RewriteRule ^([0-9a-zA-Z]{6})$ /xsser/index.php?do=code&urlKey=$1 [L]   
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /xsser/index.php?do=do&auth=$1&domain=$3 [L]   
RewriteRule ^register/(.*?)$ /xsser/index.php?do=register&key=$1 [L]   
RewriteRule ^register-validate/(.*?)$ /xsser/index.php?do=register&act=validate&key=$1 [L]   
RewriteRule ^login$ /xsser/index.php?do=login [L]  

这里/xsser要改为自己的应用根目录

在这里插入图片描述

Nginx

rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 last;   
rewrite "^/do/auth/(\w+?)(/domain/([\w\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last;   
rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 last;   
rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 last;  

7.使用

主机上访问http://172.16.11.222/xss.me.old/xssplatform/这个地址(即config.php里修改的url)

选择注册
在这里插入图片描述

之前改了注册的配置文件,所以邀请码不用填;邮箱随便填一个,没有验证。
在这里插入图片描述

填完之后不要急着提交注册,没有用。

回到虚拟机,在应用根目录下进入/themes/default/templates目录。

编辑register.html文件
将type=“button” 改为type=“submit”
在这里插入图片描述

然后提交注册

8.提权

回到虚拟机,进入数据库,找到oc_user表,将刚刚创建的账号的adminlevel改为1,即设置管理员权限。

在这里插入图片描述

9.测试

创建一个新项目,名称、描述随便填。点击下一步。
在这里插入图片描述

选择默认模块,下一步
在这里插入图片描述

在浏览器里输入

http://172.16.11.222/xss.me.old/xssplatform/qMbkIw?1596597960

(即下图框起来的地址)
在这里插入图片描述

出现如下代码,即为搭建成功
在这里插入图片描述

10.资源

xss平台
提取码: xbtw

猜你喜欢

转载自blog.csdn.net/weixin_45663905/article/details/107808632