XSS平台搭建

作者: 分类: Web 时间: 2016-08-06 评论: 2条评论

0x00 前言

检测网站的时候用到xss,到网上找了个来用发现完全没用,于是就自己搭了一个,方便以后的测试和使用。LAMP+xsser.me 1.3

0x01 准备工作

LAMP配置这边就不多说了,网上教程很多。直接下载源码(我已经搞了一份到我的github上了)

0x02 基本配置

下载下来,先把xssplatform.sql文件里的xsser.me/改成自己的域名ifuryst.com/xss/(PS:有多处需要修改)

旧版本需要修改/themes/default/templates/register.html里的提交注册为type="submit"

register.png

修改config.php

config.png

这边我没有使用root账户,我新建了一个账户,具体使用到的命令如下

mysql -uroot -p
CREATE DATABASE xss;
CREATE USER xsser IDENTIFIED BY "123"
GRANT ALL PRIVILEGES ON xss.* TO 'xsser'@'localhost' IDENTIFIED BY '123';

配置好之后,把数据库语句导入生成相应的表

mysql -uroot -p xss < xssplatform.sql

最后在ls -l看一下,用户root组也是root,改为apache

chown -R apache xss/
chgrp -R apache xss/

最后在网站根目录新建.htaccess,写入:

<IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1
        RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3
        RewriteRule ^register/(.*?)$ index.php?do=register&key=$1 
        RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1
        RewriteRule ^login$ index.php?do=login
</IfModule>

进页面测试完全ok

0x03 注册权限

config.php里的

$config['register']='normal';
改回
$config['register']='invite';

进入数据库:

use xss;
UPDATE oc_user SET adminLevel=1 WHERE userName=iFurySt;

这样就有了生成邀请码的权限了,之后就可以给朋友丢邀请码了。

0x04 开启邮件提醒功能

开启邮箱提醒功能就方便多了。
修改文件source/function.php257行,把里面的邮箱账号密码换一下。前提是你得把邮箱的POP3/SMTP服务打开,并且知道SMTP服务器,这里是qq邮箱:smtp.qq.com

mail.png

这边可以添加多组邮箱,以数组的形式保存。

0x05 测试XSS

我们创建项目(默认模块):

testXSS.png

testXSS2.png

新建一个test.html本地测试一下

testXSS3.png

收到邮件提醒了

testXSS4.png

XSS平台上也有详细信息。

testXSS5.png

搭建完毕,尽情的耍吧。

因为搭建的XSS平台暂时仅自用和几个朋友用,所以涂掉地址了。勿怪。

标签: WebXSS

声明:文章基本原创,允许转载,但转载时必须以超链接的形式标明文章原始出处及作者信息。

已有 2 条评论

  1. dzz
    dzz

    n您好,按您的步骤搭建xss平台后,点击注册跳转到了空白的页面,不知道为什么

    时间: 2017-03-10 at 18:14 回复
    1. iFurySt

      你可以查看下错误日志,看看是什么错误

      时间: 2017-03-13 at 20:27 回复

添加新评论