在虚拟机上搭建xss平台

时间:2022-07-23
本文章向大家介绍在虚拟机上搭建xss平台,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。

前言:在实施xss攻击的时候,需要有一个平台用来收集攻击获得猎物(cookie,用户名密码等),xss.me就是这样的一个平台。文末有链接

1.将源码放进虚拟机

2.更改配置文件

进入应用根目录(不是网页根目录),找到config.php文件。 主要改3个地方: 数据库信息:账号密码要对,数据库名可以随便写一个 注册信息:将invite改为normal(即将注册功能改为正常) URL:改为http:// 虚拟机 ip 地址 / 应用根目录

3.创建数据库

在数据库里创建一个数据库,库名就是刚刚在config.php文件里写的库名。我这里的库名是xssplatform。 选择utf8_bin格式

4.导入数据库

将应用根目录下的xssplatform.sql文件导入进刚刚新建的xssplatform数据库,执行,xssplatform库里就多了9个表

5.修改域名

进入数据库,将http://xsser.me换成自己的域名(即之前在config.php里修改的url的值)

6.添加.htaccess伪静态文件

在应用根目录下建立一个.htaccess文件 直接建是不行的

那就新建一个1.htaccess文件

然后打开cmd,进入应用根目录 用rename 1.htaccess .htaccess将1.htaccess重命名为.htaccess

在 .htaccess文件里输入以下内容

Apache

RewriteEngine On   
RewriteRule ^([0-9a-zA-Z]{6})$ /xsser/index.php?do=code&urlKey=$1 [L]   
RewriteRule ^do/auth/(w+?)(/domain/([w.]+?))?$ /xsser/index.php?do=do&auth=$1&domain=$3 [L]   
RewriteRule ^register/(.*?)$ /xsser/index.php?do=register&key=$1 [L]   
RewriteRule ^register-validate/(.*?)$ /xsser/index.php?do=register&act=validate&key=$1 [L]   
RewriteRule ^login$ /xsser/index.php?do=login [L]  

这里/xsser要改为自己的应用根目录

Nginx

rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 last;   
rewrite "^/do/auth/(w+?)(/domain/([w.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last;   
rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 last;   
rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 last;  

7.使用

主机上访问http://172.16.11.222/xss.me.old/xssplatform/这个地址(即config.php里修改的url)

选择注册

之前改了注册的配置文件,所以邀请码不用填;邮箱随便填一个,没有验证。

填完之后不要急着提交注册,没有用。

回到虚拟机,在应用根目录下进入/themes/default/templates目录。

编辑register.html文件 将type=“button” 改为type=“submit”

然后提交注册

8.提权

回到虚拟机,进入数据库,找到oc_user表,将刚刚创建的账号的adminlevel改为1,即设置管理员权限。

9.测试

创建一个新项目,名称、描述随便填。点击下一步。

选择默认模块,下一步

在浏览器里输入

http://172.16.11.222/xss.me.old/xssplatform/qMbkIw?1596597960

(即下图框起来的地址)

出现如下代码,即为搭建成功

10.资源

xss平台 提取码: xbtw