[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建
【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。
WEB安全第五章 漏洞学习与利用02xss利用平台搭建
1、详细说明
【请看完所有的说明再按照步骤操作!】
程序默认管理员账号:admin
程序默认管理员密码:1234567
以上数据安装后可以在【个人设置】处修改,记得修改邮箱,涉及到超级管理后台发信测试。
大家需要修改配置文件:config.php
大家还需要修改:authtest.php 把其中的【替换成你的域名】这几个字替换为你的域名例如:www.baidu.com 即可。注意结尾没有/ 开头也没有http//
大家还需要修改文件夹[程序总数据]里面的xss-MYSQL.sql 你需要替换【替换成你的域名】这几个字替换为你的域名例如:www.baidu.com 即可。注意结尾没有/开头也没有http//
程序默认首页是xss.php
如果你要是登录那地址就是: www.xxx.com/xss.php?do=login
(不要问为什么用xss.php 防止空间有俩程序跟别的冲突。可以修改,但是需要替换所有php文件里面的对应名称。)
最后就是伪静态规则已经设置好,后来项目源码处所看到的JS你自己访问一下(如果显示代码了),那就没问题了。
——————————————————————————————————————–
【修改模块注意】
这里特意把模块数据单独摘出来,方便大家修改及替换
编辑模块数据大家尽量用 EditPlus、 Vim、 Notepad、 等编辑器来编辑。尽量别用系统自带的txt编辑(主要是怕出错)。。。
总共提供了两个模块。。。(模块一,基本都做了验证,可以用。。。模块二,打部分做了验证,剩下部分需要大家自测。)
先安装模块一,再安装模块二。。。
这两个模块,你只需要替换【替换成你的域名】这几个字替换为你的域名例如:www.baidu.com 即可。注意结尾没有/开头也没有http//
注意模块二文件夹里有几个PHP文件,这几个文件没有做过滤,如果想用所有插件你就自己做一下过滤然后上传,,如果没必要,个人建议不用上传文件夹二里面的文件
只导入【XSS-module(模块二及附加文件).sql】数据即可,只是里面有2–3个插件用不了而已。
【※※※】注意模块都不导入,不影响程序使用!!!【※※※】
————————————————————————————————————–
【数据导入方法】
一般的空间都会带phpmyadmin (如果没有,你可以下载一个然后上传到你空间里面,然后访问你的网站www.xxx.com/phpmyadmin ) 大家可以用这个工具导入数据库。。。如果不会。。
那就推荐 Navicat 通过这个工具也可以把数据导入到你的mysql数据库里面。
上面两种方法都特别简单,,,仁兄,,,这个说明已经详细的不能再详细了。。。(如果你弄不明白可以论坛回帖)
一、导入程序总数据 (需要修改)
二、导入模块一 (需要修改)
三、导入模块二 (需要修改)
【※※※】注意模块都不导入,不影响程序使用!!!【※※※】
—————————————————————————————————————
如果发现任何BUG,欢迎反馈,本人看到了会修复。 欢迎回帖留言BUG,或者去本人博客留言BUG。 http://gdd.gd/ (除BUG的问题,如果是功能性建议,请回帖留言)
在hosts里面绑定域名127.0.0.1 www.xsstools.com
在phpstudy 里面绑定域名和指向文件夹
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
创建数据库 xsstools
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
修改config.php文件
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
修改authtest.php这个是用来做基础验证
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
修改数据库xss-MYSQL.sql文件 将数据库文件导入xsstools
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
开启apache的伪静态模块
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
访问首页
http://www.xsstools.com/xss.php?do=login
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
登录admin 1234567
登录后台http://www.xsstools.com/admin/
注册用户xsstools
测试是否伪静态成功
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
基础认证钓鱼
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
默认模块 获取cookie
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
安装其他模块 XSS-module(模块一) 修改域名之后 导入数据库
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
修改XSS-module(模块二及附加文件) 修改好域名
导入模块二
![[原创]WEB安全第五章 漏洞学习与利用02xss利用平台搭建](https://www.moonsec.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/215.html