使用docker快速搭建xssPlatform测试平台实践

最新推荐文章于 2024-06-09 10:00:00 发布
最新推荐文章于 2024-06-09 10:00:00 发布
阅读量2.9k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013431141/article/details/104697784
版权

一、背景

笔者之前给一些开发团队多次做Web安全开发培训,为了让培训的学员能够理解XSS原理和XSS的危害,将xssPlatform进行了更新,之前一直放在GitHub中;发现关注的人越来越多,很多人在安装的过程中遇到问题不知道怎么处理,为了简化安装步骤,笔者将xssPlatform封装到了docker镜像当中,同时编写了一套安装文档,希望到时候给学员和读者参考。

二、操作实践

  1. 数据库搭建
  2. xssPlatform搭建
  3. 安装配置

三、数据库搭建

xssPlatform渗透测试系统使用的数据库是MySQL,因此笔者需要先安装mysql数据库服务,为了简化安装,便直接使用了docker方式进行,参考命令如下

docker run --name mysqlserver -e MYSQL_ROOT_PASSWORD=123 -d -i -p 3309:3306  mysql:5.6

启动之后,可以使用宿主机的MySQL管理软件连接测试,如下图所示

image

四、xssPlatform搭建

在安装完MySQL服务之后,便可以安装xssPlatform系统了,笔者已经将所需PHP和nginx环境封装好了,因此只需下载镜像运行即可

4.1 运行容器

在运行容器时候需要考虑两个问题,首先需要将web端口映射出来宿主机才可以访问,第二个是需要考虑此容器要能访问得到mysql服务,因此参考命令如下:

docker run --name xssPlatform_test --link mysqlserver:db  -d -i  -p 8888:80   daxia/websafe:latest

4.2 启动服务

使用vim编辑器编辑hosts文件,在里面增加一条host记录,Linux或Mac执行命令如下

vim /etc/hosts

因为这个docker镜像里面还封装了permeate,默认访问的是permeate系统,所以一定要加上此记录才能访问到xssPlatform,参考内容如下

127.0.0.1       xss.localhost

在启动容器之后,通过浏览器访问http://xss.localhost:8888/不能打开,原因是因为容器里的nginx服务和PHP服务都还未启动,启动的命令参考如下所示:

docker exec xssPlatform_test zsh -c "php /root/start.php"

此时再通过浏览器访问http://xss.localhost:8888/,便可以打开安装协议页面,如下图所示

4.3 系统安装

安装过程比较简单,但在填写数据库地址的时候需要注意,我们已经将mysqlserver链接到了xssPlatform容器当中,此时数据库地址直接填写db即可,数据库密码笔者在启动MySQL容器时设置的为123,这里也填写123,参考如下图所示

通过前面添加虚拟主机和添加host解析之后,便可以通过浏览器访问此平台,URL地址为http://xss.localhost:8888/,打开后会自动跳转到安装界面,如下图所示

image

点击 我同意此协议按钮之后,将跳转到第二步的填写配置信息界面,在此界面需要填写数据库信息,和管理员账号信息,如下图所示

image

如果数据库信息填写无误,将会看到导入数据成功的提,如下图所示

image

此时便代表安装成功

4.4 功能简介

先来熟悉一些XSS Platform的一些功能,在安装完成界面点击进入首页,会要求先登录,在登录界面输入刚才安装时所填写的管理员账号信息,点击登录即可,登录成功之后会自动跳转到首页,如下图所示

image

在首页中可以看到有一个默认项目,点击default后可以看到受害者列表,不过刚刚安装肯定是还没有数据的,如下图所示

image

在图中右上方有一个查看代码的链接,点击进去便可以查看XSS Platform预备好的攻击代码,如下图所示

image

五、攻击测试

现在笔者将正是开始进行一些实践演示,首先会找出一个permeate渗透测试系统的XSS漏洞,将XSS Platform的攻击代码插入进去;

然后模拟受害者访问到被攻击的页面,会到XSS platform系统中查看收到的cookie值,最后使用接收到的cookie来冒充受害者。

permeate 渗透测试系统源码和搭建教程地址可以参考:https://github.com/78778443/permeate

5.1 插入XSS代码

笔者此前已经将permeate渗透测试系统搭建成功,下面将在此系统发表一个帖子,并在帖子标题中插入XSS Platform中预备好的攻击代码,如下图所示

image

点击发表按钮,便将帖子发布成功,此时假定自己为受害者,访问了此帖子列表,在列表中会读取帖子的标题,帖子<script>标签别浏览器执行便不会显示出来,如下图所示

image

5.2 接收cookie

可以看到并没有显示出来,再回到XSS Platform当中,查看default项目中的受害者列表,可以看到一个受害者,如下图所示

image

说明受害者已经成功中招,并且通过攻击代码已经获取到对方的cookie值和header信息

5.3 替换cookie

有了cookie值之后,笔者将使用另外一个浏览器,通过修改cookie的方式来登录受害者的账户,如下图修改cookie的操作
image

再次刷新时,已经变成了登录身份,如下图所示
image

六、图书推荐

如果对笔者的文章较为感兴趣,可以关注笔者图书《PHP Web安全开发实战》,现已在各大平台上架销售,封面如下图所示

image

作者:汤青松

日期:2020-03-03

微信:songboy8888

汤青松
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
搭建Xss平台#xssplatform#win7
AKM4180的博客
01-05 923
准备机器 win7(虚拟机) 环境(phpstudy+apache+php7.3) 服务器 物理机 客户端 1.下载xss平台,访问https://github.com/78778443/xssplatform 下载后,将压缩包放入win7,解压放入WWW目录下 2.修改配置文件 config.php ‘dbUser’ =>‘数据用户’ ‘dbPwd’ => ‘数据库密码’ ‘data
搭建xss-platform平台
qq_50854662的博客
05-16 4952
这篇更详细,对蓝莲花的XSS有更详细的说明 https://blog.csdn.net/weixin_50464560/article/details/115360092 https://bbs.secgeeker.net/thread-1519-1-1.html 搭建xss-platform平台 一直想搭在公网搭建自己的XSS平台用来验证XSS漏洞,使用别人的平台自己心里总会有担心被摘果子的顾虑,前几天参考了不少前人...
手把手教你搭建XSS平台
热门推荐
seek_2022的博客
05-05 1万+
出于学习和技术分享的目的研究了一下XSS平台搭建的方法,由于网络上的教程虽然很多,但是对于很多细节的讲解不够深入,现将XSS平台搭建方法分享给大家。
Docker系列】跨平台 Docker 镜像构建:深入理解`--platform`参数
最新发布
檀越的博客
06-09 1万+
Docker 从 18.09 版本开始支持多平台镜像构建。--platform参数允许用户指定构建过程应该生成的目标操作系统和架构。例如,指定生成一个在 64 位 Linux 操作系统上运行的镜像。
保姆级 | XSS Platform环境搭建
尼泊罗河伯的博客
12-07 3327
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境中。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞。
一、docker-platform介绍
球球之家
09-03 3620
源码https://github.com/wm5920/docker-platform功能介绍实现单机一键部署hadoop大数据平台,包含简单的服务器资源监控目录介绍dockerdata用于数据挂载,存放hadoop和mysql、redis产生的数据dockerimage用于存放基础docker镜像,如私服镜像registry.tarlib存放构建docker镜像必备的安装包和自定义脚本centos
一文教你如何通过 Docker 快速搭建各种测试环境
09-29
主要介绍了一文教你如何通过 Docker 快速搭建各种测试环境,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
使用docker快速搭建Spark集群的方法教程
09-30
通过使用 Docker,可以快速的在本地搭建一套 Spark 环境,方便大家开发 Spark 应用,或者扩展到...下面这篇文章主要给大家介绍了使用docker快速搭建Spark集群的方法教程,需要的朋友可以参考借鉴,下面来一起看看吧。
在linux下使用docker搭建测试环境
08-08
使用docker技术,用镜像产生容器,在一个虚拟机上搭建多套测试环境
详解从 0 开始使用 Docker 快速搭建 Hadoop 集群环境
01-10
Linux Info: Ubuntu 16.10 x64 Docker 本身就是基于 Linux 的,所以首先以我的一台服务器做实验。虽然最后跑 wordcount 已经由于内存不足而崩掉,但是之前的过程...输入「docker测试是否安装成功。 拉取镜像 镜像
XSS平台源码(xsser.me)
12-27
XSS平台源码(xsser.me)
xss-platform.rar
05-27
ThinkPHP的xss平台源码,支持PHP7+,安装方便,自带11个常用模块
xssplatformxsser.me源码+配置文档+在线说明
02-12
xssplatformxsser.me源码+配置文档+在线说明
Ubuntu搭建XSS平台 nginx+php5.6+mysql-附件资源
03-05
Ubuntu搭建XSS平台 nginx+php5.6+mysql-附件资源
docker(一):docker pull指定运行平台架构
欧阳方超的专栏
07-10 6614
docker pull获取镜像时也有需要指定架构的时候……
docker在centos上安装后启动报错
huaweichenai的博客
01-14 570
今天在centos环境下安装了docker,安装方法参考:https://www.wj0511.com/site/detail.html?id=159 安装完成之后使用如下命令启动docker service docker start 启动docker时报错,报错如下 解决: 1:找到/etc/sysconfig/目录下的docker文件 2:将--selinux-enabled...
docker --platform 开启_将nvidia-docker容器导出给其他人使用
weixin_32818365的博客
01-28 599
问题描述在最近的工作当中,接到一个任务:使用docker搭建一个GPU的TensorFlow环境,然后将容器打包给其他人使用,然后还有其他一些相关的库就不概述了。中间也是被要求甲方弄得有点无话可说,中间有很多问题,正好就记录一下。避免以后再有形似的工作不知怎么写。环境描述CentOS Linux release 7.7.1908 (Core)对应命令:cat /etc/redhat-release...
Docker快速搭建etcd分布式存储集群指南
使用Docker搭建etcd集群的过程如下: **1. 主机安装** - 对于Linux系统,可以直接通过curl下载最新版本的二进制文件,解压后将编译好的etcd可执行文件复制到`/usr/local/bin`目录,并确认安装成功。 - 对于MacOS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值