一直都在学xss,不过苦于没有xss平台啊,又不愿意去用别人的免费的xss平台(善于装x的人都这样!!!),所以就一直没有盲打实战的机会。近来这几天就寻思着在我vps上搭建一个,在搭建的过程中遇见了各种各样的问题啊,最后在我的好友yichin的帮助下,终于搞好啦,所以发篇博客记录一下,让想自己搭建xss平台的小伙伴们有个参考。
好啦,直接来干货:
首先你得有个虚拟主机,或者服务器什么的,这写基础设备就不在说啦。 然后去网上找一套xss源码,我用的是这一个,点击下载 下载完了之后上传到我的vps,因为是本地是windows,服务器是ubuntu,所以用pscp传到服务器上。 然后需要给我的vps安装php5和mysql,安装过程就是一直按回车……命令如下
[shell] sudo apt-get install php5 #安装php5 sudo apt-get install mysql-server #安装mysql,注意设置密码,不要忘记了 sudo apt-get install phpmyadmin #安装phpmyadmin [/shell]
安装完成之后,需要看一下是否安装成功 具体操作如下
[shell] sudo service apache2 start #开启apache服务 cd /var/www/html echo “<?php phpinfo(); ?>” >index.php [/shell]
然后访问你的服务器:http://你的ip/index.php 如果出现一下界面,就说名你的php安装成功啦
然后接下来就是在的/var/www/html文件夹下新建一个xss文件夹,然后修改xss文件的权限为755,把你的xss源码拷贝到这个文件夹下,然后解压一下
[shell] cd /var/www/html mkdir xss #新建一个xss文件夹 sudo chomd 755 xss #把文件夹权限改为755 cp ~/xss.zip . #把上传到服务器的xss源码拷贝到xss目录下,具体的路径和文件名,以你的为准 unzip xss.zip #解压 [/shell]
然后大概有下面这些文件
接下来看操作: 修改一下你的配置文件,按照下面的说明改
[shell] sudo vim config.php [/shell]
然后就是数据库的配置啦,
[shell] service mysql start #开启mysql服务 mysql -u root -p #连接一下数据库 [/shell]
在我打箭头的地方数输入之前安装mysql数据库的时候设置的密码 接下来创建一个数据库
[shell] creat database xssplatform #创建一个名字为xssplatform的数据库,注意名字要和之前在配置文件中设置的一样 exit #退出mysql mysql -u root -p xssplatform < /var/www/html/xss/xssplatform.sql #导入sql文件到xssplatform数据库 use xssplatform #用xssplatform 数据库 update oc_module SET code=REPLACE(code,’http://xsser.me','http://你的ip/xss') #更新一下code的值 exit [/shell]
然后,访问一下:
让人欣喜若狂的页面终于出现了,但是却发现高兴的太早了,因为无法注册…… 需要你修改点东西
[shell] vim /var/www/html/xss/config.php [/shell]
这样修改之后,就可以注册了,如果想让别人有邀请码才可以注册,需要把这个再改过来
访问了一下 http://107.170.200.129/xss/PTmW5y?1435861703 发现404了,看了一下发现是地址重写的问题 操作如下:
[shell] cd /etc/apache2/mods-enabled #进入apache2的配置项目录 ln -s ../mods-available/rewrite.load rewrite.load #创建一个名字为rewrite.load 的文件,连接到../mods-available/rewrit.load 文件 ls -al #看一下是否创建成功 [/shell]
如果有红框里面的文件,就说明创建成功啦
接下来在你的xss目录下新建一个.htaccess的文件,文件内容如下
文件内容贴出来,大家直接复制吧
[shell]
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1
RewriteRule ^do/auth/(w ?)(/domain/([w.] ?))?$ index.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.?)$ index.php?do=register&key=$1
RewriteRule ^register-validate/(.?)$ index.php?do=register&act=validate&key=$1
RewriteRule ^login$ xss/index.php?do=login
</IfModule>
[/shell]
接下来连入数据库,把自己的这个用户的adminlevel的值设置为1,接下来你就是超级管理员啦,可以给好朋友发要邀请码了 如果你发现有没有发邀请码的功能,或者说不能用,拿应该是文件权限的问题 官方的解决办法是,将xss这个文件夹的拥有者设置为apache2的内置账号,然后给这个问价夹一个744的权限 但是遗憾来了,我的vps没有apache2的内建账号,我是这样干的
[shell] chmod -R 777 xss #先把文件权限设置为777,设置为755是不行的,因为在第一次用某些功能的时候,会创建一些文件 ####权限给的太大,这样是不太安全的,所以等到你把所有的功能都用一下,发现没有问题之后,再把权限改过来 chmod -R 755 xss #修改文件权限完成, [/shell]
xss平台搭建就基本完成啦,可以去盲打了 我的xss平台的地址是: http://107.170.200.129/xss 欢迎大家在我这里注册使用,在下面给我留言就可以啦,我会把邀请码发给大家。
