记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

XSS平台部署文档

2013-08-29 14:25
作者: Str0ng 团队:www.anying.org 转载请注明,违者必究
原文:http://www.anying.org/thread-40882-1-1.html

QQ weibo: http://t.qq.com/F4ck_Str0ng

0x00 前言
0x01空间类
0x02 VPS类
0x03 SAE类


0x00前言


上班后一直没啥大时间来整理写这些繁杂的东西,本文有网上现成的我觉得可用并且本人亲自测试后的才复制过来的,其他均为原创,转载请保留ID,不胜感激。像我这样的穷?潘坑?AE是最明智的选择,但是有SAE没有备案的域名你就别折腾绑域名了,一个是很卡,二个是芸豆消耗会很大,有些有VPS的高富帅们你们直接用VPS吧,最后说下用空间的朋友,我们用空间被空间商所限制,所以遇到些问题还是自己解决吧,xsser.me的源码我在空间里至今未成功,因为需要URL重定向的支持。。。但是你们用空间搭建成功的麻烦说来我们可以抛砖引玉来交流。好了不多说了,希望大家能为本文提出意见或者建议,也可以分享下你的搭建XSS平台经历或经验,让我们一起共同的学习。





0X01空间类

我使用的程序如下

xssing @Yaseng


空间环境是2k3 + iis6.0

http://www.webweb.com/   不是广告只是纯粹的搭建测试用

首先我们测试xssing 源码地址
http://code.google.com/p/xssing/

作者一些常见问题里已经写的很清楚了

 

首先我们去\xssing1.3\apps\index\action\User.Action.php修改如下的东西


Admin这个参数可以自定义 比如改成sb 或者你也可以不改默认


\xssing1.3\config\mysql.php
打开编辑填入对应数据库信息



\xssing1.3\uauc\define.php


修改为你的当前URL地址

至此文件修改部分结束,然后请把\xssing1.3\xing.sql

的xing.sql导入数据库


对应的库名里导入库
然后我们上传我们之前修改好的xssing.

FTP部分我省略了这太尼玛简单不会的自己去百度吧


架设成功后请去你刚刚改的注册地址获取注册码注册
http://你的地址//?m=user&a=get_incode&token=你改的参数&n=10




测试成功

插到的数据





0X02、VPS类

1). Apache 坏境

xsser.me搭建过程:
1、 首先搭建php的环境,我这里用的是wamp2.2的版本,可以很方便的搭建起php环境。

2、 下载xsser.me的源码,解压缩到相应的目录。
这里我只拷贝了“xssplatform”目录,并重命名为了“xss”。
然后是使用phpMyAdmin在mysql中新建一个数据库,将该目录下的“xssplatform.sql”文件导入该数据库。


3、 点击执行后,可以看到已经创建好了表。

4、 执行下面的sql语句,改为自己的域名,这里我用的是本地主机搭建的环境。所以直接使用了ip地址“192.168.0.104”。
“UPDATE oc_module SET code=REPLACE(code,’http://xsser.me’,’http://192.168.0.104/xss’)”


5、 修该网站目录下面的cong.php文件,根据具体情况和注释,修改以下几项。

6、 访问网站测试一下,然后注册一个新的帐号:

7、在这里提交注册时旧的版本点击提交注册后会没反应,查看源码,会发现‘type="button"’,要改为“submit”才能提交。我的就是旧版本,没办法,去改吧。o(T ︿︶)o! 

8、 找到如下所示的目录可以发现这个文件。然后可以直接修改type为“submit”。然后刷新页面就可以注册了。但是这个文件是一个临时生成的文件,重新生成该文件时可能还会碰到这样的问题,所以还要修改源文件中的type。
临时文件的目录:









源文件的目录:



9、然后创建一个项目测试下,看下平台时候搭建好。


10、我们要使用下面的地址进行xss的时候还需要做一件事情,就是url重写。只需要在网站目录下创建一个“.htaccess”文件即可。


文件内容如下:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ index.php?do=register&key=$1
RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1
RewriteRule ^login$ index.php?do=login
</IfModule>
11、创建一个html文件然后浏览器访问这个html文件,测试一下。



12、测试成功。接下需要给自己点权限,然后可以发放邀请码。修改user表里相应用户的的adminLevel项的值为“1”即可。phpmyadmin里直接双击修改即可。或者执行sql语句
“UPDATE `xss`.`oc_user` SET `adminLevel` = '1' WHERE `oc_user`.`id` =1 LIMIT 1 ;”。

13、然后修改config.php文件,经注册配置为只允许邀请注册。然后重新登录。

14、然后访问“http://192.168.0.104/xss/index.php?do=user&act=invite”页面,发放邀请码。

这个页面的临时文件与源文件的修改类似的在下面这两个个文件中。


15、这时随便乱填邀请码会出现下面的提示:

使用正确的邀请吗注册一个:





2).IIS (本文摘自2cto)

Lmy分享,搭建过程遇到的问题和解决方法如下:
 
=======================================
前奏:
 
1 、用命令解压xssplatform.zip,然后修改config.php里面的数据库连接字段,包括用户名,密码,数据库名,访问URL起始和伪静态的设置。
2、在web根目录下有一个xssplatform.sql,导入库,然后导入data.sql(注意先后顺序)
3、 进入数据库执行语句修改域名为自己的。
 
UPDATE oc_module SET 
code=REPLACE(code,'http://xsser.me','http://yourdomain/xsser’) 
一:期初注册用户时点击【提交注册】无反应,解决方法如下:  找到themes\default\templates目录下的register.html  修改第53行代码中 <input id="btnRegister" type="button" onclick="Register()" value="提交注册" /> 
改为 
 
<input id="btnRegister" type="submit" onclick="Register()" value="提交注册" /> 
========================================================== 
 
二:接下来遇到蛋疼的就是短链接404,这个在社区找了很多Rewrite,在IIS测试都没成功, 终于解决了。 
 
出现如下状况: 
 
http://XXXXX.XXX/Ft3Su0?1371909034 这样的连接404 
 
http://xxxxx.XXX/index.php?do=code&urlKey=Ft3Su0 正常。 
 
解决方法: 
 
1、下载ISAPI Rewrite3 full版本 
 
下载地址:http://www.hackdig.com/soft/201307/40397.html
 
下载好之,先安装ISAPI_Rewrite3_0073.msi,安装完成之后,打开 
C:\Program Files\Helicon\ISAPI_Rewrite3(默认安装) 
把RAR包里面的ISAPI_Rewrite.dll和在包里面有个绿色版文件夹的ISAPI_RewriteSnapin.dll复制出来覆盖到程序目录(先备份)。 
还有记得给ISAPI_Rewrite3软件安装目录network service的读权限,rar包里面有安装说明。 
 
操作完之后打开Helicon Manager.exe,找到自己的网站,然后右侧有edit按钮,把下面的规则粘贴上去就行了。 
 
Rewrite的规则:RewriteEngine On  
 

RewriteRule ^([0-9a-zA-Z]{6})$ /index.php?do=code&urlKey=$1 [L]
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /index.php?do=do&auth=$1&domain=$3 [L]
RewriteRule ^register/(.*?)$ /index.php?do=register&key=$1 [L]
RewriteRule ^register-validate/(.*?)$ /index.php?do=register&act=validate&key=$1 [L]

 
之后重启IIS搞定


0x03 SAE 新浪云

SAE类的搭建 @奇迹 已经为我们封装好了代码大家去申请一个SAE的云创建下项目上传下代码按照下面的步骤安装即可

step1:导入数据库文件

step2:执行sql 替换数据库中写死的xsser.me sql:UPDATE oc_module SET code=REPLACE(code, 'http://xsser.me', 'http://你懂的.sinaapp.com');

step3:修改配置文件中的 发送邮件的邮箱和密码,config.php文件倒数2-3行。。修改$config['urlroot']为你的域名

step4:请确定已经初始化了你的sae上的mysql和memcache

如果你还有问题,请关注我的微博并@齐迹2010



你确定已经关注我的微博了?那就开始下载把click
原版下载:click(安装步骤基本同上config.php需要增加数据库相关配置,可参考http://zone.wooyun.org/content/3897)
BAE版本下载:click(安装步骤基本同上config.php需要增加数据库相关配置,以及init.php末尾发邮件相关参数)
BAE安装后访问白板:我故隐藏了默认访问。登录请在您的域名后面加上/index.php?do=login
知识来源: www.2cto.com/Article/201308/239747.html

阅读:253861 | 评论:0 | 标签:xss

想收藏或者和大家分享这篇好文章→复制链接地址

“XSS平台部署文档”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云