XSS平台搭建

时间：2017-11-11 17:50:38 阅读：171 评论：0 收藏：0 [点我收藏+]

简介：

在实施xss攻击的时候，需要有一个平台用来收集攻击获得猎物（cookie，用户名密码等）；xss平台就是这样一个用于收取cookie，账号等信息的平台；可以使用外网的xss平台来测试外网的网站；也可以自己在本地搭建xss平台，测试本地搭建的web网站DVWA的漏洞

试验中，使用的xss平台是xsser

直接创建项目：在网站有xss的地方插入项目中的代码，执行的时候会把对应的信息发送到平台上。具体看平台上的说明。

基础认证钓鱼模块：
插入xss后，用户访问的时候会弹出一个登陆框，用于输入用户名和密码。
如果用户粗心地输入了自己的账号和密码，那么就可以在平台上看到输入的信息。

一、下载源码

技术分享

把这些文件复制到网站目录xsser中

二、配置环境

步骤：

1、修改config.php里面的数据库连接字段，包括用户名，密码，数据库名，访问URL起始和伪静态的设置。

技术分享

1.1在phpmyadmin中新建xssplatform数据库

技术分享

1.2修改访问的url起始地址为:http://localhost/xsser 也就是目录名

技术分享

2、在web根目录下有一个xssplatform.sql，在phpmyadmin中创建好数据库后导入库。

2.1phpmyadmin导入SQL

技术分享

执行之后会多出9张表

技术分享

3、进入数据库执行语句修改域名为自己的：

UPDATE oc_module SET
code=REPLACE(code,‘http://xsser.me‘,‘http://localhost/xsser‘)

技术分享

4.修改themes\default\templates\register.html中的提交按钮的源码为：注如果修改了下面注册的页面就不用修改了!!

行53
<input id="btnRegister" type="button" onclick="Register()" value="提交注册" />

修改为
<input id="btnRegister" type="submit" value="提交注册" />

备注：XSS1.7版本这里不需要修改

5.rewrite规则

在web根目录下建立.htaccess伪静态文件

技术分享

并加入以下内容、注意如果伪静态没配置成功，那么下面xsser生成的项目中的URL将不能访问!!!

范例：

Apache：

RewriteEngine On
RewriteRule ^([0-9a-zA-Z]{6})$ /xsser/index.php?do=code&urlKey=$1 [L]
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /xsser/index.php?do=do&auth=$1&domain=$3 [L]
RewriteRule ^register/(.*?)$ /xsser/index.php?do=register&key=$1 [L]
RewriteRule ^register-validate/(.*?)$ /xsser/index.php?do=register&act=validate&key=$1 [L]
RewriteRule ^login$ /xsser/index.php?do=login [L]

Nginx：

rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 last;
rewrite "^/do/auth/(\w+?)(/domain/([\w\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last;
rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 last;
rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 last;