xss平台搭建

1. xss平台搭建

l 将xss平台源码放置在网站目录下



l 进入MySQL管理界面中的phpMyAdmin界面，新建一个XSS平台的数据库



l 修改XSS源码文件目录下的config.php中的数据库连接字段，包括用户名、密码、和数据库名。



l 进入phoMyAdmin选择XSS平台数据库，导入源码包中的xssplatform.sql文件

l 执行如下SQL命令，将数据库中原有URL地址修改为自己的URL

UPDATE oc_module SET
code=REPLACE(code,'http://xsser.me','http://127.0.0.1/XSS')




l 将authtest.php中的网址替换为自己的URL

l 注册帐号，将config.php中的invite改为normal，即为开放注册，注册成功后再将值修改为invite，即关闭开放注册功能。

l 在phpMyAdmin中选择oc_user，将注册用过的adminLevel值改为1

l 配置伪静态文件.htaccess，在平台跟目录下创建.htaccess文件，根据中间件类型写入代码

l 平台搭建成功，可以登录平台创建项目

2. 测试xss漏洞

l 在xss平台点击“我的项目”中创建，项目名称与描述自定义填写，勾选“默认模块”单击下一步，生成xss项目。

l 以DVWA平台为例测试，复制利用代码，插入可能存在xss漏洞的位置，查看平台返回结果

观察到获取到了Cookie

x 所需代码

伪静态文件**.htaccess**

Apache环境

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^([0-9a-zA-Z]{6})$ /XSS/index.php?do=code&urlKey=$1 [L]
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /XSS/index.php?do=do&auth=$1&domain=$3 [L]
RewriteRule ^register/(.*?)$ /XSS/index.php?do=register&key=$1 [L]
RewriteRule ^register-validate/(.*?)$ /XSS/index.php?do=register&act=validate&key=$1 [L]
</IfModule>

Nginx环境

rewrite "^/([0-9a-zA-Z]{6})$" /XSS//index.php?do=code&urlKey=$1 last; 

rewrite "^/do/auth/(\w+?)(/domain/([\w\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last; 

rewrite "^/register/(.*?)$" /XSS//index.php?do=register&key=$1 last; 

rewrite "^/register-validate/(.*?)$" /XSS//index.php?do=register&act=validate&key=$1 last;