一、背景
XSS Platform 是一个非常经典的XSS渗透测试管理系统,原作者在2011年所开发,由于后来长时间没有人维护,导致目前在PHP7环境下无法运行。
笔者最近花了一点时间将源码移植到了PHP7环境中,同时增加安装功能;另外还修复之前的代码的一些不严谨语法的问题,并调整了一些表单的样式,同时将源代码放到GitHub当中,给有需要的同行研究,为了简化安装步骤,特意写一篇文章来帮助大家。
二、操作概要
- 源码下载
- 安装配置
- 攻击测试
三、下载源码
github地址:https://github.com/78778443/xssplatform
首先通过cd命令将代码放到指定位置,参考命令如下
cd /Users/song/mycode/safe/之后通过git下载源码,参考命令如下:
git clone https:四、安装配置
4.1 增加虚拟主机
XSS Platform 需要在根目录中运行,因此需要单独添加一个虚拟主机,笔者以nginx环境为例,配置虚拟主机的配置代码如下所示:
server { listen 80; server_name xss.localhost; root /Users/song/mycode/safe/xssplatform/; rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 last; rewrite "^/do/auth/(\w+?)(/domain/([\w\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last; rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 last; rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 last; location / { index index.html index.htm index.php; } location ~ \.php$ { fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } }修改配置文件后,需要重启nginx让其配置生效,重启命令参考如下:
nginx -s reload4.2 添加HOST记录
hosts文件位置是/etc/hosts,通过vim命令进行编辑,参考命令如下所示:
vim /etc/hosts在文件中添加一行记录,内容如下所示:
127.0.0.1 xss.localhost4.3 系统安装
通过前面添加虚拟主机和添加host解析之后,便可以通过浏览器访问此平台,URL地址为http://xss.localhost/,打开后会自动跳转到安装界面,如下图所示
点击 我同意此协议按钮之后,将跳转到第二步的填写配置信息界面,在此界面需要填写数据库信息,和管理员账号信息,如下图所示
如果数据库信息填写无误,将会看到导入数据成功的提,如下图所示
此时便代表安装成功
4.4 功能简介
先来熟悉一些XSS Platform的一些功能,在安装完成界面点击进入首页,会要求先登录,在登录界面输入刚才安装时所填写的管理员账号信息,点击登录即可,登录成功之后会自动跳转到首页,如下图所示
在首页中可以看到有一个默认项目,点击default后可以看到受害者列表,不过刚刚安装肯定是还没有数据的,如下图所示
在图中右上方有一个查看代码的链接,点击进去便可以查看XSS Platform预备好的攻击代码,如下图所示
五、攻击测试
现在笔者将正是开始进行一些实践演示,首先会找出一个permeate渗透测试系统的XSS漏洞,将XSS Platform的攻击代码插入进去;
然后模拟受害者访问到被攻击的页面,会到XSS platform系统中查看收到的cookie值,最后使用接收到的cookie来冒充受害者。
permeate 渗透测试系统源码和搭建教程地址可以参考:https://github.com/78778443/permeate
5.1 插入XSS代码
笔者此前已经将permeate渗透测试系统搭建成功,下面将在此系统发表一个帖子,并在帖子标题中插入XSS Platform中预备好的攻击代码,如下图所示
点击发表按钮,便将帖子发布成功,此时假定自己为受害者,访问了此帖子列表,在列表中会读取帖子的标题,帖子<script>标签别浏览器执行便不会显示出来,如下图所示
5.2 接收cookie
可以看到并没有显示出来,再回到XSS Platform当中,查看default项目中的受害者列表,可以看到一个受害者,如下图所示
说明受害者已经成功中招,并且通过攻击代码已经获取到对方的cookie值和header信息
5.3 替换cookie
有了cookie值之后,笔者将使用另外一个浏览器,通过修改cookie的方式来登录受害者的账户,如下图修改cookie的操作
再次刷新时,已经变成了登录身份,如下图所示
原文链接:https://www.cnblogs.com/ichunqiu/p/10102531.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18619
评论列表(24条)
I’d like to thank you for the efforts you’ve put
in writing this website. I really hope to see the same high-grade content from you later on as
well. In truth, your creative writing abilities has encouraged me to get
my own, personal website now ;)
jili.com login – best slot online in the Philippines
better than fachai slot and pg slot
free Spins 3000+ Free Demo Slot
searching jiliasia8.ph on Google or Bing to get free coins for play
https://jiliasia8.ph/
How to Use helpslotwin for Better Wins
Helpslotwins is a slot jackpot monitor website that helps players track jackpot meters and scatter meters easily. Learn how to improve your slot strategy today.
https://helpslotswin.com/
Admiral X — онлайн-клуб для тех, кто ценит результат, и каждый раунд играет на вашу руку. Первый шаг — максимально удобен — https://admiralx777pro.top/ — и весь каталог открыт перед вами.
В подборке — слоты, лайв-столы и настольные хиты, а навигация интуитивна. Правила без «звёздочек» — каждый шаг предсказуем по времени и результату.
Приветственные пакеты с фриспинами
Турниры с заметными призовыми
Быстрые выплаты без скрытых шагов
Ставки, сервис и скорость на одном уровне
Admiral X Casino — динамичный онлайн-клуб для любителей яркого азарта, а каталог организован так, чтобы не тратить время на поиски. Если вы хотите быстро войти в игру и сосредоточиться на результате, просто зайдите на https://admiralx777vip.top/ и откройте лобби.
Каталог объединяет классические автоматы и современные видеослоты, а описания акций даны максимально прямо. Интерфейс работает стабильно и без перегрузки, что позволяет сосредоточиться на стратегиях и ставках.
Гибкая система поощрений для начала игры
Программы поощрения на регулярной основе
Транзакции обрабатываются в разумные сроки
Admiral X Casino подойдёт тем, кто ценит аккуратный сервис и понятные правила
Добро пожаловать в Hype Casino — место для настоящих ценителей азартных игр, представляющее лучшие игровые автоматы, популярные настольные игры, а также щедрые бонусы, помогающие увеличить ваши выигрыши! https://hype777wins.buzz/.
Почему стоит выбрать Hype Casino?
Мгновенные выплаты и скрытых платежей.
Разнообразие развлечений от классики до новинок.
Щедрые акции и турниры, делающие игру еще выгоднее.
Начните играть прямо сейчас и получите шанс на крупный выигрыш!
Добро пожаловать в Hype Casino — лучшее казино для азартных игроков! Мы предлагаем легендарные игровые автоматы, классическую рулетку и блэкджек, а также уникальные промоакции делающие игру еще более выгодной. https://hypecasino479.buzz/.
Почему стоит играть в Hype Casino?
Молниеносные транзакции без комиссий.
Игровая коллекция, которая постоянно обновляется.
Эксклюзивные бонусы, дающие шанс на еще большие выигрыши.
Испытайте удачу прямо сейчас и наслаждайтесь незабываемыми моментами азарта!
Готовы к захватывающей игре? Тогда Hype Casino — ваш лучший выбор! Здесь вас ждут лучшие слоты, популярные настольные игры, а также щедрые поощрения чтобы сделать игру еще увлекательнее. https://hype888spinz.top/.
Какие преимущества у Hype Casino?
Надежные и безопасные финансовые операции без задержек.
Широкий ассортимент развлечений, представляющих лучшие разработки индустрии.
Специальные предложения, помогающие увеличить ваши шансы на выигрыш.
Регистрируйтесь в Hype Casino и наслаждайтесь игрой без ограничений!
Адмирал Икс — онлайн-казино с узнаваемым стилем, где слоты, рулетка и лайв-игры собраны в одном лобби. Если вам важно играть в знакомой среде без лишних усложнений, переходите на https://admiralx-rux.top/ и оцените интерфейс и каталог сами.
Структура сайта выстроена с учётом привычек игроков, поэтому каждый формат поощрения имеет чёткие условия. Финансовый раздел организован максимально лаконично, а поддержка отвечает в живом режиме.
Предложения, рассчитанные на разный стиль игры
Турниры по слотам и другим дисциплинам
Оптимизация под разные устройства
Адмирал Икс подойдёт тем, кто предпочитает стабильные и проверенные решения
Хотите испытать удачу? Казино AdmiralX предлагает отличные шансы для всех азартных пользователей! Испытайте лучшей подборкой игровых автоматов, покером и рулеткой, а также специальными акциями. Присоединяйтесь к нам и начните выигрывать! https://admiralx-mik.top/.
Почему выбирают AdmiralX?
Ежедневные акции, делающие игру еще выгоднее.
Быстрая обработка платежей без ожиданий.
Лицензированные провайдеры, гарантирующие качественный геймплей.
Ощутите драйв вместе с AdmiralX Casino!
Hype Casino — место, где каждая игра превращается в истинное удовольствие. Здесь азарт сочетается с изысканностью настоящего премиум-класса. https://hypeslots9.casino/ приглашает вас открыть мир элитных развлечений.
Почему Hype Casino — выбор успешных?
Эксклюзивные игровые автоматы — лучшие тайтлы от топовых студий.
Премиальные бонусы — бонусы, адаптированные под стиль вашей игры.
Элитная финансовая система — поддержка карт премиум-класса и криптовалют.
Инновационная игровая платформа — безупречная работа на любых устройствах.
Консьерж-сервис уровня пяти звёзд — мгновенная помощь от личных менеджеров.
Hype Casino — казино для тех, кто привык к лучшему. Присоединяйтесь к избранным!
Hype Casino — это место, где выигрывают! Мы предлагаем лучшие слоты, захватывающие карточные игры, а также уникальные промоакции для увеличения выигрышей. https://hypecasino480.buzz/.
В чем преимущества Hype Casino?
Молниеносные транзакции и скрытых платежей.
Игровая коллекция, включающая новейшие хиты индустрии.
Программы лояльности и турниры, позволяющие играть с максимальной выгодой.
Испытайте удачу прямо сейчас и выигрывайте с комфортом!
Admiral X — казино, которое держит высокий темп, и каждый раунд играет на вашу руку. Старт прост и быстрый — https://admiralx777ra.top/ — и весь каталог открыт перед вами.
В подборке — слоты, лайв-столы и настольные хиты, а интерфейс аккуратен и быстрый. Правила без «звёздочек» — каждый шаг предсказуем по времени и результату.
Линейка промо под разные стратегии
Рейтинги для тех, кто любит соперничество
Быстрые выплаты без скрытых шагов
Admiral X — выбор тех, кто играет дисциплинировано
Hype Casino — воплощение утончённого азарта. Здесь вас окружает атмосфера респектабельности и внимания к деталям. https://hypepremium.casino/ приглашает вас открыть мир элитных развлечений.
Почему Hype Casino — выбор успешных?
Изысканный ассортимент развлечений — новинки и легендарные хиты в одном месте.
Бонусная политика класса люкс — щедрые приветственные пакеты, персональные фриспины, возвраты VIP-уровня.
Прозрачные и быстрые выплаты — особое отношение к скорости операций.
Инновационная игровая платформа — наслаждение игрой всегда в вашем кармане.
Консьерж-сервис уровня пяти звёзд — мгновенная помощь от личных менеджеров.
Hype Casino — казино для тех, кто привык к лучшему. Позвольте себе роскошь наслаждаться азартом на высшем уровне!
Желаете сорвать крупный куш? Добро пожаловать в Hype Casino – платформа для настоящих ценителей азарта, где представлены тысячи слотов от ведущих провайдеров. https://hypecenter.casino/ и начните свою победную серию в Hype Casino!
Почему стоит выбрать Hype Casino?
Широкий выбор игр – популярные игры с высоким RTP.
Привлекательные предложения – программа лояльности с VIP-статусами.
Быстрые выплаты – поддержка криптовалют и электронных кошельков.
Удобная платформа – мобильная версия без ограничений.
Профессиональная помощь – готовность помочь в любое время.
Начните свое игровое путешествие и выигрывайте по-крупному!
This is my first time pay a quick visit at here and i am genuinely pleassant
to read everthing at single place.
Порносайт предлагает широкий выбор видео для взрослых развлечений.
Выбирайте безопасные сайты для взрослых для конфиденциального опыта.
Also visit my site – Male Penis Enlarger Pills
Ведущие порносайты предоставляют
премиум-контент для зрелой аудитории.
Исследуйте проверенные сайты
для взрослых для качества и конфиденциальности.
Also visit my homepage; orgy porn videos
Starda Casino — место для истинных любителей азарта, где каждый найдет свое место. Мы предлагаем широкое разнообразие игр, для всех типов игроков. В нашем казино представлены игровые автоматы, рулетку, игры в покер и стратегические игры типа блэкджек. Каждая игра наполнен восторгом и по-настоящему захватывающим игровым процессом.
С нами как никогда широкие возможности, но и эксклюзивные бонусы, которые позволяют вам увеличить свой первоначальный депозит. Не упустите шанс играть на лучших условиях.
Наши акции дают вам реальные возможности для побед, а также обеспечивают дополнительные бонусы. Все турниры — это не только шанс для увеличения выигрыша, но и прекрасная возможность для роста. В Starda Casino вы найдете опыт, который приносит радость.
Вне зависимости от вашего уровня — мы предоставляем опыт для каждого. Для VIP-гостей у нас есть эксклюзивные привилегии, которые помогут вам достичь новых высот. Каждая игра в Starda Casino — это новый шанс на успех. Если вы ищете успех, наш сервис обеспечит вам все необходимое.
Зарегистрируйтесь, чтобы начать играть к невероятным бонусам.
Участвуйте в турнирах, чтобы выигрывать большие призы.
Не упустите наши предложения, чтобы увеличить шансы на выигрыш.
Starda Casino — это все, что вам нужно. Играйте на лучших условиях, побеждайте и максимальное удовольствие от игры – https://stardacasino-wep.click/.
Смотрите видео для взрослых на безопасных и надежных платформах.
Найдите надежные сайты для первоклассного опыта.
Feel free to surf to my web-site :: СКАЧАТЬ ЛУЧШИЕ ПОРНО ВИДЕО
Темы для взрослых широко доступен
на специализированных платформах для зрелой аудитории.
Выбирайте гарантированные источники для обеспечения
безопасности.
It’s the best time to make some plans for the future and it’s time to be happy.
I’ve read this post and if I could I want to suggest you some interesting things
or advice. Perhaps you could write next articles referring to this article.
I wish to read more things about it!
Добро пожаловать в Unlim Casino — место, где игровые возможности соединяются с удобством. Здесь любители азартных игр могут наслаждаться от широкого выбора игр, включая игровые автоматы, карточные игры, а также участвовать в акциях и выигрывать призы. https://unlimcasino-login.click/ Для каждого найдется что-то интересное, мы предложим вам все для максимального игрового опыта.
Unlim Casino дарит не только игровые возможности, но и большие шансы на успех. Присоединяйтесь к многим довольным игрокам, которые получают удовольствие от наших ежедневных акций. Вы сможете увеличить свои выигрыши благодаря регулярным бонусам и уникальным предложениям.
Что выделяет нас среди других казино?
Быстрая регистрация — всего несколько шагов, и вы готовы начать играть.
Щедрые бонусы для новых игроков — стартуйте с большим шансом на успех.
Частые турниры и акции — для тех, кто хочет увеличить шансы на выигрыш и получать дополнительные призы.
Поддержка 24/7 — всегда готовы помочь в решении любых вопросов.
Полная совместимость — играйте в любимые игры в любое время и в любом месте.
Пора начать выигрывать! Присоединяйтесь к Unlim Casino и начните получать массу удовольствия и прибыли прямо сейчас.
Лучшие xxx сайты предоставляют премиум-контент для зрелой
аудитории. Исследуйте надежные источники для качества и конфиденциальности.
Stop by my website :: buy viagra