搭建XSS 测试平台

最新推荐文章于 2024-06-21 23:18:02 发布
最新推荐文章于 2024-06-21 23:18:02 发布
阅读量1.3k 收藏 6
点赞数 19
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207482/article/details/136118732
版权

 

XSS 测试平台是测试XSS漏洞获取cookie并接收Web 页面的平台,XSS 可以做

JS能做的所有事,包括但不限于窃取cookie、后台增删改文章、钓鱼、利用XSS漏洞进 行传播、修改网页代码、网站重定向、获取用户信息(如浏览器信息、IP  地址)等。这 里使用的是基于xsser.me的源码。在本书的同步网站下载相关文件并解压,然后将其放 置在用来搭建XSS平台的网站目录下,安装过程如下所示。

●进入MySQL 管理界面中的phpMyAdmin  界面,新建一个XSS 平台的数据

库,如xssplatform,设置其用户名和密码,如图2-16所示。

 

760b2917bb60454d8fb27ddb58ee8a8d.png

图2-16新建XSS 平台的数据库

●修改config.php 中的数据库连接字段,包括用户名、密码和数据库名,访

问XSS 平台的URL地址,将注册配置中的invite改为normal, 要修改的配置如图2-17所 示。

 

8732a0244ec14ce59fae76eeaa8c5037.png

 

 

 

?php

contig.php 系统配置,数据库连换、显示信息等

 

 

 

/·数据库连换·/

fconfig['Koat']   $contigt*dblser'1 fconfigt'dhPvd']

Ccantigl'database']

Scontigt'charset']

4config['thFrefix']

4eontig['abType']

/·注带配置·/

Scenfig['regiater'] Scontigl'mailauth']

s(/)c·on(ur)f1i配gl'ar(置)iro(·)ot']

fconfig['urlrevrite'I

 

 

**root':

*

xas(1234)

6lat(°)f:om'?

**oc_':

**my*ql';

 

-false:

 

-faise:

 

//数据率地址

//用户

//密码

//数据库名

//数据库字符集

//表名前罐

//数据库类型(日前只支持mysq1)

//nomal, 正常:invite,只允许邀请注册;eloae, //注册时是否邮箱验证

」/访间的ur1起始

//是否启用or1 Revrite

 

 

图2- 17修改config.php   中的数据

●进入MySQL管理中的phpMyAdmin,     选 择XSS平台的数据库,导入源码包

中的xssplatform.sql   文件,然后执行以下SQL命令,将数据库中原有的URL地址修改为 自己使用的URL,  如图2-18所示。同时,也需要将authtest.php   中的网址代码替换为  自己的URL,  如图2-19中用线框标出的部分。

UPDATE oc_module   SETcode=REPLACE ( code,'http:/      /xsser.me','

http:/ /yourdomain/xss   ')

 

 

 

39f34a034c7344cb8bf5c6f4ffe6bd4c.png

图2 - 18执行SQL语 句

 

Fr

errer_reportingl?)!

/·检业变量 PHP_AUTB_HSER 和 PA          的 值

Put      tensetit.stta('mnunt_Bat?1)1      cietitst*vZ('HATwD)t

/·空像,发速产生显承文本程的数据头部 ·

header      t'e-Auteentieatet       Basie      realne*".addslashes       itrim(t_ETt"inte')))."")

haader('rT?/1.0401          Daastheriaed)

echo   "Astherinatien   Fegelred."?

xitr

)else it 4tssetif stavZR['PTSLR'IN

/·变量值存在,检查其是否正确·/

headeri*ae

 

 

图2-19修改URL

●接下来访问搭建XSS 平台的URL, 首先注册用户,然后在phpMyAdmin  里

选择oc_user, 将注册用户的adminLevel 改为1,如图2-20所示。再将config.php注 册配置中的normal 改为invite (使用邀请码注册,即关闭开放注册的功能)。

 

e01f65e7f68c4c389c63aa1760dc63e5.png

 

 

字段

ld

adminLevel

userName

0218be9fc2a34c48a274ce178db9cc5d.png

图2-20修改adminLevel    的值

●需要配置伪静态文件(.htaccess),  在平台根目录下创建.htaccess 文件,

写入以下代码。

 

#apache 环境

<IfModule         mod_rewrite.c>

RewriteEngine   On

RewriteBase/

RewriteRule         ^([0-9a-zA-Z]{6})$/index.php?do=code&urlKey=$1           [L]

RewriteRule

^do/auth/(\w+?)(/domain/([\w\.]+?))?$     /index.php?do=do&auth=$18domain=$3     [L]

RewriteRule ^register/(.*?)$/index.php?do=register8key=$1 [L]

RewriteRule   ^register-validate/(.*?)$/index.php?do=register&act=validate8key=$1 [L]

</IfModule>

#Nginx    环境

rewrite"^/([0-9a-zA-Z]{6})$"/index.php?do=code&ur1Key=$1 break;

rewrite"^/do/auth/(w+?)(/domain/([w.]+?))?$"/index.php?do=do&auth=$18domain=$3 break;

rewrite   "^/register/(.?)$"/index.php?do=register8key=$1    break;

rewrite                               "^/register-validate/(.?)$"/index.php?do=register&act=validate8key=$1

rewrite"^/logins"/index.php?do=login break;

● 使用注册的账号登录XSS 平台,创建项目,如图2-21所示。

795d2649f096433bb6f42a60d590c4ac.png

 

Lyx-0607
关注
  • 19
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Windows上搭建XSS测试平台
afei001
07-12 1278
目录 一、实验环境 二、Windows上搭建XSS测试平台 1.将XSS源码解压到wamp的网站发布目录 2.创建XSS数据库并导入sql文件 3.修改oc_module表 4.修改config.php文件 5.修改配置文件 6.重启wamp并注册XSS账号 7.创建.htaccess文件 三、开启邀请码注册 1.数据库用户授权 2.修改config.php文件 3.浏览器访问获得邀请码 4.使用邀请码注册用户 一、实验环境 操作系统:Windows 10...
xss测试平台搭建
xdjxi的博客
03-16 5212
1.拉取镜像 docker pull daocloud.io/library/mysql:5.6 2.运行mysql服务,密码为root,端口号为3306 docker run --name mysqlserver -e MYSQL_ROOT_PASSWORD=root -d -i -p 3306:3306 daocloud.io/library/mysql:5.6 3. 搭建xss测试平台,拉取镜像 docker pull daxia/websafe 4. 运行容器 docker run --n..
手把手教你搭建XSS平台
热门推荐
seek_2022的博客
05-05 1万+
出于学习和技术分享的目的研究了一下XSS平台搭建的方法,由于网络上的教程虽然很多,但是对于很多细节的讲解不够深入,现将XSS平台搭建方法分享给大家。
XSS漏洞—XSS平台搭建与打cookie
goldfish8848的博客
06-21 1736
6. **避免内联事件**:避免在HTML中使用内联JavaScript事件处理器,如 `onLoad="onload('{{data}}')"` 或 `onClick="go('{{action}}')"`,因为这些容易受到XSS攻击。7. **避免拼接HTML**:前端采用拼接HTML的方法比较危险,如果可能,使用 `createElement`、`setAttribute` 等方法实现,或者采用成熟的渲染框架,如Vue或React。攻击者可能会尝试使用不同的字符编码或分隔符来绕过简单的输入验证。
搭建属于自己的xss平台
m0_60716947的博客
05-03 1万+
一、什么是打 cookie 简单来说就是:在你访问的页面上执行了一次JS代码,这次代码的执行后可以获取你当前已经登录某个网站的cookie ,并将该cookie 发送到攻击者指定的网站,攻击者利用你的cookie 登录你的账号。 攻击者用来接收cookie 的平台就叫做xss 平台,在网上其实有很多这种平台,但其实有的平台存在黑吃黑的现象(懂得都懂),而且有很多渗透测试任务都是保密的,不可能去第三方网站。 二、cookie 接收平台 这里推荐一个平台,BlueLotus_XSSReceiver
Web漏洞-XSS平台简介-相关知识点补充(cookie与session)
ran的博客
03-14 2064
首页(注册)。成功注册后的主页。按照如下路径填写相关信息后点击下一步。之后会返回项目相关的功能。勾选默认模块后点击下一步。点击下一步后,平台会为你创建一个项目。下滑后可以看到平台生成的测试语句。这里我们引用平台生成的最后一条语句。输入网站内的对应位置后点击提交。可以看到成功提交了。来到管理员界面可以看到查看留言的位置。点击进入查看后便发现网站弹出了一个弹窗,说明网站成功执行了js代码。
XSS数据接收平台——蓝莲花(BlueLotus)
p36273的博客
06-17 6042
蓝莲花平台是清华大学曾经的蓝莲花战队搭建平台,该平台用于接收xss返回数据。用xss数据接收平台的好处:正常执行反射型xss和存储型xss,反射型xss在执行poc时,会直接在页面弹出执行注入的poc代码;存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;而使用这种数据接收平台,在用户页面就不会再弹出这个窗口,但在数据接收平台还是可以获取到用户的cookie,以免被用户发觉。
XSS平台偷取cookie使用+XSS漏洞
NSQ0207的博客
07-24 2588
在线利用网站:复制代码输入复制的代码查看获取到的cookie二、xss触发方式(1)在标签外:(2)在标签内:使用事件型:(先用引号闭合,看看是否有过滤如果有使用大小写试验)在标签内不能使用标签,使用标签标签内资源类型是url使用伪协议。
XSS测试平台使用
Fly_鹏程万里
08-07 2089
这里推荐一个常用的XSS平台xsspt.com,下面是该平台的使用教程~ XSSPT使用方法: 注册 如果没有账户,可以通过“注册”来注册一个账户: 登录 使用注册的账户登录进行登录认证,之后即可进入主页面 功能界面介绍 a、主界面 B、辅助选项 C、学习 该模块披露了一些已经修复的漏洞,有助于自我学习与实践 D、友情链接与历史 友情链接可以帮助你...
搭建XSS平台所需的资料,亲测可用
09-02
XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户...总结,搭建XSS平台是学习和提升网络安全技能的重要手段。通过深入理解和实践,我们可以更好地预防和应对XSS攻击,保护网络环境的安全。
xss平台源码
09-28
1. **部署**:根据提供的源码,可以搭建自己的XSS测试平台,适应不同场景的需求。 2. **扩展**:针对特定环境或需求,可以修改源码,增加新的payload类型或功能模块。 3. **安全研究**:对于安全研究人员来说,这是...
xss平台搭建源码,xss漏洞练习
06-03
二、搭建XSS练习平台 1. 解压:首先,你需要下载提供的压缩包,并将其解压缩到Web服务器的根目录,通常为`www`或`htdocs`目录。 2. 数据库准备:使用MySQL等数据库管理系统,创建一个名为`xss-sql`的数据库。这通常...
使用Django简单编写一个XSS平台的方法步骤
09-19
本文将详细介绍如何使用Python的Django框架来搭建一个简单的XSS平台,用于学习和测试XSS攻击原理和技术。 #### 1. 基础知识介绍 在开始之前,我们需要了解以下基础知识: - **XSS攻击基本原理**:XSS攻击主要分为...
XSS数据接收网站——XSS在线平台
p36273的博客
06-17 5523
平台的网址是:链接:XSS在线平台
XSS数据接收平台
2301_81475812的博客
02-16 1354
存储型则是,在将poc代码注入用户的系统中后,用户访问有存储型xss的地方,也会弹出执行的poc代码,即如下图所示;3.我的项目,点击创建,项目名称和描述随便填,之后点击下一步,选择需要的模板,这里选择“基础默认模块”就好,之后点击下一步,项目就创建成功了。4.提交后,显示安装成功,直接点击登录就跳转到,登录控制面板,输入前面的密码,即可登录到XSS接受面板。进入“我的JS”模块输入要创建的模板名,选择要用的模块,点击插入模块,之后点击新增按钮。4.将复制的payload,放到dvwa的xss模块执。
web靶场——xss-labs靶机平台搭建和代码审计
weixin_51525416的博客
09-05 4892
web靶场-xss-labs靶机平台搭建和代码审计
保姆级 | XSS Platform环境搭建
尼泊罗河伯的博客
12-07 3591
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境中。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞。
搭建xss-platform平台
qq_50854662的博客
05-16 5036
这篇更详细,对蓝莲花的XSS有更详细的说明 https://blog.csdn.net/weixin_50464560/article/details/115360092 https://bbs.secgeeker.net/thread-1519-1-1.html 搭建xss-platform平台 一直想搭在公网搭建自己的XSS平台用来验证XSS漏洞,使用别人的平台自己心里总会有担心被摘果子的顾虑,前几天参考了不少前人...
xss平台详解及练习
m0_55854679的博客
08-19 2631
文章目录xss平台使用教程练习CTFhub web 反射型xss XSS平台 xss平台使用教程 xss平台使用教程 练习 CTFhub web 反射型xss 在第一栏处输入测试语句 <script>alert('xss')</script> <script>alert(document.cookie)</script> 我第一次做这道题也没有思路,也是通过看别人写的wp学会的。 大佬博客 首先创建一个项目并选择默认模块 点击下一步随即跳转到一个项
蓝莲花xss平台搭建
最新发布
06-30
蓝莲花是一个广泛使用的开源Web应用安全评估工具,它提供了跨站脚本(XSS)攻击的模拟平台,用于帮助开发者和安全测试人员理解和检测网站对XSS攻击的防护能力。蓝莲花XSS平台通常包括以下几个步骤: 1. **安装与配置*...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lyx-0607

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值