搭建漏洞环境及实战——搭建XSS测试平台

XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台，XSS可以做成JS能做的所有事，包括但不限于窃取cookie、后台增删文章、钓鱼、利用CSS漏洞进行传播、修改网页代码、网站重定向、获取用户信息（如浏览器信息、IP地址）等。这里使用的是基于xsser.me的源码。源码，然后将其放置在用来搭建XSS平台的网站目录下，安装过程如下：

1、进入进入MySQL管理中的PHPMyAdmin界面，新建一个XSS平台的数据库

2、修改config.php中的数据库连接字段，包括用户名、密码和数据库名，访问XSS平台的URL地址，将注册配置中的invite改为normal，要修改的配置如下

 

3、进入MySQL管理中的phpMyAdmin，选择XSS平台的数据库，导入源码包中的xssplatform.sql文件，然后执行以下SQL命令，将数据库中原有的URL地址修改为自己使用的URL，通知也需要将authtest.Php中的网站代码替换为自己的URL

update oc_module set code= replace(code,'http://xsser.me','http://losthost/xss')

 

 

4、接下来访问搭建XSS平台的URL，首先注册用户，然后在phpMyAdmin里选择oc_user，将注册用户的adminLevel改成1,。再将config.php注册配置中的normal改为invite（使用邀请码注册，即关闭开放注册的功能）

 

 

5、需要配置伪静态文件（.htaccess），在平台根目录下创建.htaccess文件，写入以下代码

<IfModule mod_rewrite.c>

RewriteEngine on

RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1

RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3

RewriteRule ^register/(.*?)$ index.php?do=register&key=$1

RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1

RewriteRule ^login$ index.php?do=login

</IfModule>

【配置环境】出现 Not Found The requested URL was not found on this server. 解决方案

出现了重定向的问题，大概率是apache的配置问题：

1、对apache配置文件httpd.conf进行修改

 

修改为：

<Directory "D:/wamp/bin/apache/apache2.4.9/cgi-bin">

    #AllowOverride None

    Options Indexes FollowSymLinks

    Options None

    AllowOverride ALL

    #Require all granted

</Directory>

 

 

 

 成功注册登录

 

链接：https://pan.baidu.com/s/14sjfE38uq-b05qN4AUvh5A
提取码：dlpy