XSS平台搭建
简介:
在实施xss攻击的时候,需要有⼀个平台⽤来收集攻击获得猎物(cookie,⽤户名密码等);xss平台就是这样⼀个⽤于收取cookie,账号等信息的平台;可以使⽤外⽹的xss平台来测试外⽹的⽹站;也可以⾃⼰在本地搭建xss平台,测试本地搭建的web⽹站DVWA的漏洞
试验中,使⽤的xss平台是xsser
直接创建项⽬:在⽹站有xss的地⽅插⼊项⽬中的代码,执⾏的时候会把对应的信息发送到平台上。具体看平台上的说明。
基础认证钓鱼模块:
插⼊xss后,⽤户访问的时候会弹出⼀个登陆框,⽤于输⼊⽤户名和密码。
如果⽤户粗⼼地输⼊了⾃⼰的账号和密码,那么就可以在平台上看到输⼊的信息。
⼀、下载源码
把这些⽂件复制到⽹站⽬录xsser中
⼆、配置环境
步骤:
1、修改config.php⾥⾯的数据库连接字段,包括⽤户名,密码,数据库名,访问URL起始和伪静态的设置。
1.1在phpmyadmin中新建xssplatform数据库
2、在web根⽬录下有⼀个xssplatform.sql,在phpmyadmin中创建好数据库后导⼊库。
2.1phpmyadmin导⼊SQL
执⾏之后会多出9张表
3、进⼊数据库执⾏语句修改域名为⾃⼰的:
UPDATE oc_module SET
code=REPLACE(code,'','localhost/xsser')
4.修改themes\default\templates\register.html中的提交按钮的源码为:注如果修改了下⾯注册的页⾯就不⽤修改了!!
⾏53
<input id="btnRegister" type="button" οnclick="Register()" value="提交注册" />
修改为
<input id="btnRegister" type="submit" value="提交注册" />
备注:XSS1.7版本这⾥不需要修改
在web根⽬录下建⽴.htaccess伪静态⽂件
并加⼊以下内容、注意如果伪静态没配置成功,那么下⾯xsser⽣成的项⽬中的URL将不能访问
范例:
Apache:
1. RewriteEngine On
2. RewriteRule ^([0-9a-zA-Z]{6})$ /xsser/index.php?do=code&urlKey=$1 [L]
3. RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /xsser/index.php?do=do&auth=$1&domain=$3 [L]
4. RewriteRule ^register/(.*?)$ /xsser/index.php?do=register&key=$1 [L]
5. RewriteRule ^register-validate/(.*?)$ /xsser/index.php?do=register&act=validate&key=$1 [L]
6. RewriteRule ^login$ /xsser/index.php?do=login [L]
Nginx:
php项目搭建
1. rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 last;
2. rewrite "^/do/auth/(\w+?)(/domain/([\w\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last;
3. rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 last;
4. rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 last;
三、使⽤
在注册之前、⾸先把注册配置修改为normal进⾏保存
然后就可以注册了、邀请码随便填写,其他的都是注册的时候需要的
就完成了注册。注册成功之后他会跳到这个页⾯

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。