XSS平台搭建(xsser.me)

最新推荐文章于 2025-09-17 09:49:46 发布
原创 最新推荐文章于 2025-09-17 09:49:46 发布 · 5.5w 阅读 · 96 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #XSS

本文档详细介绍了如何搭建和配置XSS平台xsser.me。从下载源码到安装数据库,再到修改配置文件,包括注册过程中的问题修复,以及Apache伪静态规则设置,最后进行测试以确保平台正常运行。

一、下载源码


地址: http://download.csdn.net/detail/u011781521/9722570


下载之后解压出来会有这么些文件




把这些文件复制到网站目录xsser中






二、配置环境



步骤: 


1、修改config.php里面的数据库连接字段,包括用户名,密码,数据库名,访问URL起始和伪静态的设置。 




1.1在phpmyadmin中新建xssplatform数据库





1.2修改访问的url起始地址为:http://localhost/xsser 也就是目录名





2、在web根目录下有一个xssplatform.sql,在phpmyadmin中创建好数据库后导入库。 


2.1phpmyadmin导入SQL



执行之后会多出9张表





3、进入数据库执行语句修改域名为自己的: 


UPDATE oc_module SET 
code=REPLACE(code,'http://xsser.me','http://localhost/xsser') 




4.修改themes\default\templates\register.html中的提交按钮的源码为:注如果修改了下面注册的页面就不用修改了!!


行53  
<input id="btnRegister" type="button" onclick="Register()" value="提交注册" />  


修改为  
<input id="btnRegister" type="submit" value="提交注册" />  


5.登录页面,回车登录;加载完页面后,自动将光标定位在user输入框


文件themes/default/templates/login.html的修改:


<!-- <input type="submit" value="登录" onclick="Login()"> -->   
<input type="submit" value="登录" onclick="Login()">

在body的最后添加: 


<!-- 页面加载完成后,将光标定位到user输入框 -->  
<script>document.getElementById('user').focus();</script>




6.修改提示页面跳转时间为500ms


文件themes/default/templates/notice.html:


行11  


setTimeout("location.href='{$notice.turnto}'",3000);  


修改为  


setTimeout("location.href='{$notice.turnto}'",500); 





7.创建项目页面,自动将光标置于项目名称处


themes/default/templates/project_create.html


行55,添加  


<script>document.getElementById('title').focus();</script> 




8.rewrite规则


在web根目录下建立.htaccess伪静态文件





并加入以下内容、注意如果伪静态没配置成功,那么下面xsser生成的项目中的URL将不能访问!!!


范例: 


Apache:

RewriteEngine On 
RewriteRule ^([0-9a-zA-Z]{6})$ /xsser/index.php?do=code&urlKey=$1 [L] 
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /xsser/index.php?do=do&auth=$1&domain=$3 [L] 
RewriteRule ^register/(.*?)$ /xsser/index.php?do=register&key=$1 [L] 
RewriteRule ^register-validate/(.*?)$ /xsser/index.php?do=register&act=validate&key=$1 [L] 
RewriteRule ^login$ /xsser/index.php?do=login [L]


Nginx:

rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 last; 
rewrite "^/do/auth/(\w+?)(/domain/([\w\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last; 
rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 last; 
rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 last;


三、使用


差不多了,我们访问这个地址:http://localhost/xsser/index.php 




在注册之前、首先把注册配置修改为normal进行保存




然后就可以注册了、邀请码随便填写,其他的都是注册的时候需要的





点击提交注册,发现没卵用,他这搞错了,审查下元素,就能发现,他把type=submit写成了type=button,改回来就可以了。




就完成了注册。注册成功之后他会跳到这个页面




然后我们到数据库中的user表里面




把adminLevel修改为1,把自己定义为最高管理员权限,不然没法发送邀请码。再回到config.php中,修改注册配置为invite




保存后我们重新登陆进去生成邀请码


http://localhost/xsser/index.php?do=user&act=invite





点击生成其他邀请码




93cd389730d7e601f0dc6ec5a6992d69


生成,成功,现在来看看可以正常注册不





修改type=submit、然后点击提交注册




注册成功。


四、测试


新建一个项目、测试其中的地址







点击下一步





点击下一步创建完成。




能访问:




说明Apache伪静态配置成功、如果伪静态没有配置成功就会出现下面的错误





xss平台搭建(使用xsser.me源码)
blrk
06-24 2万+
需要修改的地方比较多,目前已基本可用,还在学习摸索中。。。 1、将xssplatform.sql中的xsser.me/修改为实际使用的URL,如localhost:6666/xss/ 2、修改themes\default\templates\register.html中的提交按钮的源码为: 行53 修改为 3、邀请码的生成 (1)将文件source\user.p
xss测试平台搭建
xdjxi的博客
03-16 5505
1.拉取镜像 docker pull daocloud.io/library/mysql:5.6 2.运行mysql服务,密码为root,端口号为3306 docker run --name mysqlserver -e MYSQL_ROOT_PASSWORD=root -d -i -p 3306:3306 daocloud.io/library/mysql:5.6 3. 搭建xss测试平台,拉取镜像 docker pull daxia/websafe 4. 运行容器 docker run --n..
全网最详细 XSS 跨站脚本攻击
最新发布
m0_71746416的博客
09-17 970
Tom 发现 Bob 的站点存在反射性的 XSS 漏洞 Tom 利用 Bob 网站的反射型 XSS 漏洞编写了一个 exp,做成链接的形式,并利用各种手段诱使 Alice 点击 Alice 在登录到 Bob 的站点后,浏览了 Tom 提供的恶意链接嵌入到恶意链接中的恶意脚本在 Alice 的浏览器中执行。当用户登录了存在漏洞的网站,并且用户点击了我们构造的恶意链接时,该恶意链接的页面加载完后会执行 js 代码,完成表单的提交,表单的用户名参数是我们的恶意 js 代码。XSS 攻击针对的是用户层面的攻击!
XSS详解
wangzhemvp的博客
04-21 1093
主要时xssplatform开发较早已经不更新了,所以还是用的之前的php版本。接着我们执行一条sql语句,因为xss数据库里面的sql文件里面的站点域名是作者的,我们将其更新替换成自己的。这里用的别人的图,数据库名用xssplatform,与前面的config.php对应;注册成功了之后我们到phpmyadmin的xss数据库里面将admin升级成管理员。访问http://127.0.0.1/xss,注册admin/123456。下载了之后,将其解压在www目录下的XSS目录下。执行后可以看到更新成功。
Web安全攻防渗透测试实战指南之漏洞环境
05-16 1159
本文只用作学习研究,请勿非法使用!!!本文只用作学习研究,请勿非法使用!!!本文只用作学习研究,请勿非法使用!!!
搭建XSS 测试平台
m0_62207482的博客
02-22 1690
中的xssplatform.sql 文件,然后执行以下SQL命令,将数据库中原有的URL地址修改为 自己使用的URL, 如图2-18所示。同时,也需要将authtest.php 中的网址代码替换为 自己的URL, 如图2-19中用线框标出的部分。再将config.php注 册配置中的normal 改为invite (使用邀请码注册,即关闭开放注册的功能)。问XSS 平台的URL地址,将注册配置中的invite改为normal, 要修改的配置如图2-17所 示。
保姆级 | XSS Platform环境搭建
尼泊罗河伯的博客
12-07 6312
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境中。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞。
XSser.me搭建手册
06-24
XSser.me搭建手册将指导用户如何搭建XSser.me平台,从而实现XSS评估测试和安全培训等功能。 第一步:下载XSser.me源码 XSser.me的源码可以从乌云社区下载,并且需要注意的是,XSser.me的源码只能用于技术研究、...
利用phpstudy搭建xsser.me漏洞检测平台
2. **配合phpstudy工具搭建**:phpStudy是一个集成环境包,它集成了PHP、Apache和MySQL等服务的配置和运行环境,使得在Windows平台搭建Web开发环境变得非常简单。通过使用phpStudy,开发者可以快速搭建本地测试...
xsser测试平台
12-30
XSSer测试平台是一个专门用于检测和利用跨站脚本(Cross-Site Scripting,简称XSS)漏洞的工具。XSS是一种常见的网络安全漏洞,它允许攻击者在用户浏览器中注入恶意脚本,进而窃取用户数据、执行恶意操作或者传播...
XSS平台源码(xsser.me)
12-27
XSS平台源码(xsser.me)
XSS平台搭建
weixin_30474613的博客
11-11 1534
简介: 在实施xss攻击的时候,需要有一个平台用来收集攻击获得猎物(cookie,用户名密码等);xss平台就是这样一个用于收取cookie,账号等信息的平台;可以使用外网的xss平台来测试外网的网站;也可以自己在本地搭建xss平台,测试本地搭建的web网站DVWA的漏洞 试验中,使用的xss平台xsser 直接创建项目:在网站有xss的地方插入项目中的代码,执行的时候会把对应的...
XSS平台搭建及后台使用(cookie获取)
2302_79885863的博客
04-12 2614
点击XSS后台,这就是我们收集cookie的网站,第一次进入需要初始化,如果你的数据库密码改了的就要去靶场的根目录的pkxss/inc/config.inc.php把链接数据库密码改成一致(案列靶场是这个,反正就是要找到这个配置文件)执行完之做了一个php的重定向,做完上面操作,保存完数据库之后,重新给你访问了一下这个网址,这个网址应该改成存在漏洞的网站的IP。然后我们把留言删除,刚刚我们知识测试是否存在有这个漏洞,然后我们现在想要获取cookie,需要构造代码了。这里的IP是能和虚拟机通信的,
搭建属于自己的xss平台
热门推荐
m0_60716947的博客
05-03 1万+
一、什么是打 cookie 简单来说就是:在你访问的页面上执行了一次JS代码,这次代码的执行后可以获取你当前已经登录某个网站的cookie ,并将该cookie 发送到攻击者指定的网站,攻击者利用你的cookie 登录你的账号。 攻击者用来接收cookie 的平台就叫做xss 平台,在网上其实有很多这种平台,但其实有的平台存在黑吃黑的现象(懂得都懂),而且有很多渗透测试任务都是保密的,不可能去第三方网站。 二、cookie 接收平台 这里推荐一个平台,BlueLotus_XSSReceiver
xss平台搭建
qq_45405155的博客
11-24 2412
update oc_module set code=REPLACE(code,"http://xsser.me","http://127.0.0.1/xss");
保姆级 XSS Platform环境搭建_xss平台搭建,2024年大厂网络安全岗面试必问
2401_84140347的博客
04-06 2017
下载 xss platform 项目。这里使用 Xftp 工具,将 xssplatform 项目上传到网站根目录下。
xss-platform平台的入门搭建
weixin_52501704的博客
03-19 7426
关于xss平台搭建 其实一直用着网上别人的xss平台,但是又害怕自己的果实被别人窃取掉,所以参考着网上大佬的搭建自己也在服务器上部署了属于自己的xss平台,现在我想把自己遇到的问题和解决方案写出来,希望大家可以参考一下。 关于xss-platform源码的下载地址: 链接:https://pan.baidu.com/s/1NV4NhFfjtRwBh34x-QZhNQ 提取码:baz6 当然我也上传了网盘可以直接打开下载 下载之后把他解压到www的下面就是自己网站根目录下面 解压出来就..
XSS平台搭建全过程
zhangyingjie1982的博客
11-15 5720
XSS平台搭建全过程 从网上下载最新的wamp3.0.6 和 XSS Platform。 1、安装wamp,将XSS Platform源码放到wamp的www目录下,文件夹取名为xss。 2、运行wamp。 如果wamp未正常运行,80端口被占用,考虑IIS和SQL Report什么服务。 3、运行phpMyAdmin,用户名root,密码为空,登录。 4、点击数据库菜单,添加名为xss的数据库,...
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值