wonderkun's|blog

share with you!

04/20
15:02
linux

记一次xss平台的搭建

一直都在学xss,不过苦于没有xss平台啊,又不愿意去用别人的免费的xss平台(善于装x的人都这样!!!),所以就一直没有盲打实战的机会。近来这几天就寻思着在我vps上搭建一个,在搭建的过程中遇见了各种各样的问题啊,最后在我的好友yichin的帮助下,终于搞好啦,所以发篇博客记录一下,让想自己搭建xss平台的小伙伴们有个参考。

好啦,直接来干货:

首先你得有个虚拟主机,或者服务器什么的,这写基础设备就不在说啦。
然后去网上找一套xss源码,我用的是这一个,点击下载
下载完了之后上传到我的vps,因为是本地是windows,服务器是ubuntu,所以用pscp传到服务器上。
然后需要给我的vps安装php5和mysql,安装过程就是一直按回车……命令如下

sudo apt-get install php5       #安装php5 
sudo apt-get install mysql-server      #安装mysql,注意设置密码,不要忘记了
sudo apt-get install phpmyadmin       #安装phpmyadmin

安装完成之后,需要看一下是否安装成功
具体操作如下

sudo service apache2 start   #开启apache服务
cd  /var/www/html 
echo "<?php phpinfo();  ?>" >index.php 

然后访问你的服务器:http://你的ip/index.php
如果出现一下界面,就说名你的php安装成功啦
搜狗截图15年07月03日0101_1
然后接下来就是在的/var/www/html文件夹下新建一个xss文件夹,然后修改xss文件的权限为755,把你的xss源码拷贝到这个文件夹下,然后解压一下

cd  /var/www/html  
mkdir  xss           #新建一个xss文件夹
sudo chomd  755  xss    #把文件夹权限改为755
cp  ~/xss.zip  .     #把上传到服务器的xss源码拷贝到xss目录下,具体的路径和文件名,以你的为准
unzip  xss.zip       #解压   

然后大概有下面这些文件
搜狗截图15年07月03日0124_2
接下来看操作:
修改一下你的配置文件,按照下面的说明改

sudo vim  config.php 

搜狗截图15年07月03日0139_4
然后就是数据库的配置啦,

service mysql start    #开启mysql服务
mysql  -u root    -p    #连接一下数据库  

搜狗截图15年07月03日0157_6
在我打箭头的地方数输入之前安装mysql数据库的时候设置的密码
接下来创建一个数据库

creat database xssplatform  #创建一个名字为xssplatform的数据库,注意名字要和之前在配置文件中设置的一样
exit                        #退出mysql
mysql -u root  -p  xssplatform  < /var/www/html/xss/xssplatform.sql   #导入sql文件到xssplatform数据库 
use xssplatform    #用xssplatform 数据库 
update  oc_module  SET code=REPLACE(code,'http://xsser.me','http://你的ip/xss')  #更新一下code的值 
exit 

然后,访问一下:
搜狗截图15年07月03日0217_7
让人欣喜若狂的页面终于出现了,但是却发现高兴的太早了,因为无法注册……
需要你修改点东西

vim   /var/www/html/xss/config.php   

搜狗截图15年07月03日0222_8

这样修改之后,就可以注册了,如果想让别人有邀请码才可以注册,需要把这个再改过来
搜狗截图15年07月03日0227_9

搜狗截图15年07月03日0228_10

搜狗截图15年07月03日0229_11

访问了一下 http://107.170.200.129/xss/PTmW5y?1435861703 发现404了,看了一下发现是地址重写的问题
操作如下:

cd  /etc/apache2/mods-enabled     #进入apache2的配置项目录 
ln -s  ../mods-available/rewrite.load  rewrite.load  #创建一个名字为rewrite.load 的文件,连接到../mods-available/rewrit.load 文件 
ls  -al   #看一下是否创建成功   

如果有红框里面的文件,就说明创建成功啦
搜狗截图15年07月09日1631_1
接下来在你的xss目录下新建一个.htaccess的文件,文件内容如下
搜狗截图15年07月09日1634_2
文件内容贴出来,大家直接复制吧

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1
RewriteRule ^do/auth/(w+?)(/domain/([w.]+?))?$ index.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ index.php?do=register&key=$1
RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1
RewriteRule ^login$   xss/index.php?do=login
</IfModule>

接下来连入数据库,把自己的这个用户的adminlevel的值设置为1,接下来你就是超级管理员啦,可以给好朋友发要邀请码了
如果你发现有没有发邀请码的功能,或者说不能用,拿应该是文件权限的问题
官方的解决办法是,将xss这个文件夹的拥有者设置为apache2的内置账号,然后给这个问价夹一个744的权限
但是遗憾来了,我的vps没有apache2的内建账号,我是这样干的

chmod  -R  777   xss   #先把文件权限设置为777,设置为755是不行的,因为在第一次用某些功能的时候,会创建一些文件
####权限给的太大,这样是不太安全的,所以等到你把所有的功能都用一下,发现没有问题之后,再把权限改过来
chmod   -R 755  xss  #修改文件权限完成,

xss平台搭建就基本完成啦,可以去盲打了
我的xss平台的地址是: http://107.170.200.129/xss
欢迎大家在我这里注册使用,在下面给我留言就可以啦,我会把邀请码发给大家。