web安全攻防中xss平台部署中的.htaccess问题

最新推荐文章于 2024-09-10 15:48:00 发布
最新推荐文章于 2024-09-10 15:48:00 发布
阅读量788 收藏 1
点赞数 2
分类专栏: xss平台部署 .haccess伪静态配置 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yqlhac/article/details/111300895
版权
当访问127.0.0.1/xss返回404时,检查Apache的error.log,发现OptionsFollowSymLinks和SymLinksIfOwnerMatch关闭导致RewriteRule被禁止。解决方案是在.htaccess文件中添加'Options +FollowSymlinks',然后重新加载配置即可正常访问。博客介绍了问题定位及解决步骤,并提供了配置成功的验证方法。
摘要由CSDN通过智能技术生成

XSS平台部署之.htaccess静态配置问题

建立.htaccess文件后访问127.0.0.1/xss 返回404

在这里插入图片描述
这时可以去查看Apache下的error.log文件

在这里插入图片描述
打开查看,如果有如下的记录:
T:/phpstudy/php/PHPTutorial/WWW/XSS/
[Wed Dec 16 17:38:06.134247 2020] [rewrite:error] [pid 16120:tid 2040] [client 127.0.0.1:2104] AH00670: Options FollowSymLinks and SymLinksIfOwnerMatch are both off, so the RewriteRule directive is also forbidden due to its similar ability to circumvent directory restrictions : T:/phpstudy/php/PHPTutorial/WWW/XSS/

在这里插入图片描述
(红线部分是问题的所在)
(error.log文件里内容可能会很多,如果是刚刚访问过127.0.0.1/xss,可以直接拉到最下面.或者你也可以直接ctrf+f搜索XSS)

看到这里,如果你的问题和博主一样,那么你的问题应该能解决了

解决方法

打开.htaccess文件,在文件中增加“Options +FollowSymlinks”
在这里插入图片描述

Options +FollowSymlinks
<ifModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ index.php?do=register&key=$1
RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1
RewriteRule ^login$ index.php?do=login
</IfModule>

保存之后再去刷新一下xss界面就可以了
在这里插入图片描述
然后试一下创建项目

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
访问划线区域的网址:
在这里插入图片描述
说明配置成功

如果出现下图的样式,
在这里插入图片描述
说明配置失败

可以参考以下链接:
alias别名的.htaccess配置
xss入门之平台搭建

说明一下,博主用的是phpstudy搭建的平台,而不是《web安全攻防渗透测试实战指南》中用的wamp

这是博主第一次写博客,如有不好或者不正确的地方;请各位见谅并指出

Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8131
第二章 2.1 在Linux系统安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
【评论区抽奖】北大社将《Web安全攻防从入门到精通》送上新书热卖NO.1
hongrisec的博客
10-17 1825
还没看到《Web安全攻防从入门到精通》?那你的第一本安全书籍就交给红日吧,评论区留言,免费看!
xss添加php后门,利用.Htaccess文件构成的PHP后门
weixin_39611725的博客
03-18 361
0x00 .Htaccess简介.htaccess 是Apache HTTP Server的文件目录系统级别的配置文件的默认的名字。它提供了在主配置文件定义用户自定义指令的支持。 这些配置指令需要在 .htaccess 上下文 和用户需要的适当许可。平时开发用的最多的就是URL重定向功能。0x01 开启.htaccessApache修改配置文件httpd.conf修改如下内容Options F...
2019 Thinkphp开发笔记
轻风细雨_林木木
08-27 508
1..htaccess文件的具体意思 <IfModule mod_rewrite.c> Options +FollowSymlinks RewriteEngine On RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !-f RewriteRule ^(.*)$ index...
web基础之XSS
最新发布
m0_74080781的博客
09-10 1454
突然想到一个问题,我刚才制作的攻击语句的IP是本地的回环地址,所以如果我在虚拟机的靶场测试攻击,那么我的蓝莲花平台是接收不到的,所以这里先在本地的靶场测试,等下在演示在虚拟机的(如果蓝莲花平台部署在云服务器,就能攻击其他互联网用户)(2)尝试了大佬的在线xss平台;(该平台主机上线有提示语音并且功能比蓝莲花和我搭建的另一个xss平台都好,所以就借助大佬搭建的xss平台作为本期演示平台)填写接收数据的url ,格式:当前蓝莲花平台的url + 文件名(文件名自己取)(1)首先尝试,不成功;
htaccess规则四大实例
gui_198641的专栏
12-08 205
httpd.conf下配置 开启:LoadModule rewrite_module modules/mod_rewrite.so .htaccess文件在项目目录内 &lt;Directory "项目目录"&gt;   Options Indexes FollowSymLinks   AllowOverride all   Order Deny,Allow   Deny from all   A...
手把手教你搭建XSS平台
热门推荐
seek_2022的博客
05-05 1万+
出于学习和技术分享的目的研究了一下XSS平台搭建的方法,由于网络上的教程虽然很多,但是对于很多细节的讲解不够深入,现将XSS平台搭建方法分享给大家。
保姆级 | XSS Platform环境搭建
尼泊罗河伯的博客
12-07 4346
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞。
RASP攻防 —— RASP安全应用与局限性浅析
Tencent_SRC的博客
09-18 5825
文|腾讯安全平台部数据安全团队qiye & baz随着Web应用攻击手段变得复杂,基于请求特征的防护手段,已经不能满足企业安全防护需求。在2012年的时候,Gartner引入了“...
网络安全工程师学习路线汇总
m0_64514826的博客
12-16 219
网络安全工程师学习路线汇总
Dest0g3 520迎新赛 writeup (misc部分 + web部分)
ShenZ的博客
05-30 3980
Dest0g3 520迎新赛 Welcome to fxxking DestCTF 你知道js吗 StrangeTraffic Pngenius EasyWord EasyEncode Python_jail rookie hacker-1 rookie hacker-2 4096 EasySSTI phpdest EasyPHP SimpleRCE funny_upload middle PharPOP 1.phar的上传与触发 2.POP链 NodeSoEasy ezip Really Easy Sql
Apache Options Indexes FollowSymLinks详解
往之不谏 来者可追
05-13 1万+
如果该虚拟目录下没有 index.html,浏览器也会显示该虚拟目录的目录结构,列出该虚拟目录下的文件和子目录。 如何禁止 Apache 显示目录列表呢? 要禁止 Apache 显示目录结构列表,只需将 Option 的 Indexes 去掉即可。 比如我们看看一个目录的目录配置:  Options Indexes FollowSymLinks #----------
搭建Xss平台#xssplatform#win7
AKM4180的博客
01-05 956
准备机器 win7(虚拟机) 环境(phpstudy+apache+php7.3) 服务器 物理机 客户端 1.下载xss平台,访问https://github.com/78778443/xssplatform 下载后,将压缩包放入win7,解压放入WWW目录下 2.修改配置文件 config.php ‘dbUser’ =>‘数据用户’ ‘dbPwd’ => ‘数据库密码’ ‘data
如何在Apache开启Rewrite环境
weixin_42878826的博客
08-06 1584
ubuntu如何开启Rewrite模块 在终端输入: sudo a2enmod rewrite 开启Rewrite模块(停用模块,使用 a2dismod) sudo gedit /etc/apache2/sites-available/default 修改下面的地方 Options FollowSymLinks AllowOverride None(修改为AllowOverride ...
apache配置rewrite后,根目录启用.htaccess,总是跳转到apache默认欢迎页面。
阿不的专栏
09-03 4266
Options FollowSymLinks or SymLinksIfOwnerMatch is off which implies that RewriteRule directive 查看apache的错误日志,报错信息如上:
关于apache设置Options None出现Fobidden不能访问的问题
IT技术宅-北方的刀郎
03-21 2205
关于apache设置Options None出现Fobidden不能访问的问题keminar 发表于 2010-04-12 22:15:00. 发表在: Linux系统1. 如果没有启用mod_rewrite,可以用Options None 来保证安全性。2. 如果启用了mod_rewrite, 那么Options就一定要启用FollowSymLinks或者SymLinksifOwnerMatch
保姆级 XSS Platform环境搭建_xss平台搭建(2),细节爆炸
2301_76225520的博客
04-16 949
XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞。
搭建xss-platform平台
qq_50854662的博客
05-16 5392
这篇更详细,对蓝莲花的XSS有更详细的说明 https://blog.csdn.net/weixin_50464560/article/details/115360092 https://bbs.secgeeker.net/thread-1519-1-1.html 搭建xss-platform平台 一直想搭在公网搭建自己的XSS平台用来验证XSS漏洞,使用别人的平台自己心里总会有担心被摘果子的顾虑,前几天参考了不少前人...
XSS平台搭建及后台使用(cookie获取)
2302_79885863的博客
04-12 1710
点击XSS后台,这就是我们收集cookie的网站,第一次进入需要初始化,如果你的数据库密码改了的就要去靶场的根目录的pkxss/inc/config.inc.php把链接数据库密码改成一致(案列靶场是这个,反正就是要找到这个配置文件)执行完之做了一个php的重定向,做完上面操作,保存完数据库之后,重新给你访问了一下这个网址,这个网址应该改成存在漏洞的网站的IP。然后我们把留言删除,刚刚我们知识测试是否存在有这个漏洞,然后我们现在想要获取cookie,需要构造代码了。这里的IP是能和虚拟机通信的,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值