一、背景XSS平台是一款非常经典的XSS渗透测试管理系统。原作者2011年开发,由于长期无人维护,目前PHP7环境下。不能操作。笔者最近花了一点时间将源码移植到PHP7环境中,同时加入了安装功能;此外,他还修复了之前代码语法不严谨的一些问题,调整了一些表单样式,并将源码放在了GitHub上。为有需要的同行研究,为了简化安装步骤,特地写了一篇文章帮助大家。二、操作概述源码下载、安装、配置、攻击测试三、下载源码github地址:https://github.com/78778443/xssplatform首先通过cd命令将代码放到指定位置。参考命令如下cd/Users/song/mycode/safe/后,通过git下载源码。参考命令如下:gitclonehttps://github.com/78778443/xssplatform.git4.安装配置4.1添加虚拟主机XSSPlatform需要在根目录下运行,所以需要添加一个虚拟Host,笔者以nginx环境为例,配置虚拟主机的配置代码如下:server{listen80;服务器名称xss.localhost;root/Users/song/mycode/safe/xssplatform/;最后重写"^/([0-9a-zA-Z]{6})$"/index.php?do=code&urlKey=$1;重写"^/do/auth/(\w+?)(/domain/([\w\.]+?))?$"/index.php?do=do&auth=$1&domain=$3最后;最后重写"^/register/(.*?)$"/index.php?do=register&key=$1;最后重写"^/register-validate/(.*?)$"/index.php?do=register&act=validate&key=$1;location/{indexindex.htmlindex.htmindex.php;}location~\.php${fastcgi_pass127.0.0.1:9000;fastcgi_indexindex.php;fastcgi_paramSCRIPT_FILENAME$document_root$fastcgi_script_name;包括fastcgi_params;}}修改配置文件后,需要重启nginx使其配置生效。重启命令如下:nginx-sreload4.2添加HOST记录。主机文件的位置是/etc/hosts。通过vim命令编辑它。显示:vim/etc/hosts在文件中添加一行记录,内容如下:127.0.0.1xss.localhost4.3系统安装解决后通过添加虚拟主机添加主机,即可访问这个通过浏览器平台。URL地址为http://xss.localhost/。打开后会自动跳转到安装界面。如下图点击我同意此协议按钮后,会跳转到第二步填写配置信息界面。在该界面中需要填写数据库信息和管理员账号信息,如下图所示。如果数据库信息填写正确,会看到数据导入成功的提示,如下图,表示安装成功。4.4功能介绍熟悉一些XSS平台部分功能安装完成后点击进入首页,需要先登录。在登录界面输入刚才安装时填写的管理员账号信息,点击登录。登录成功后,会自动跳转到首页,如下图所示,说明首页有一个默认项。点击default后,可以看到受害者列表。但是,安装后一定没有数据。如下图所示,在图的右上方有查看代码的链接。点击进入然后可以查看XSS平台准备的攻击代码,如下图所示。进去;然后模拟受害者访问被攻击页面,在XSS平台系统中检查收到的cookie值,最后利用收到的cookie冒充受害者Permeate渗透测试系统源码和搭建教程地址可以参考:https://github.com/78778443/permeate5.1插入XSS代码作者之前已经成功搭建过Permeate渗透测试系统,将在此系统上发帖在下方,并在帖子标题中插入准备好的XSSPlatform攻击代码,点击下图的发布按钮,帖子发布成功。这时候假设你是受害者,访问这个帖子列表,会在列表中读取帖子的标题,除非浏览器执行,否则不会显示帖子的
