本地搭建XSS 漏洞接收平台实践分享

免责声明

本文仅限于学习讨论与技术知识的分享,不得违反当地国家的法律法规。对于传播、利用文章中提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任,一旦造成后果请自行承担!

前言

XSS Platform 平台主要是用作验证跨站脚本攻击。该平台可以部署在本地或服务器环境中。我们可以使用 XSS Platfrom 平台搭建、学习或验证各种类型的 XSS 漏洞。

项目地址:https://github.com/NepoloHebo/XSS-Platform

运行环境

phpStudy

本文笔者是在windows10上,安装小皮面板phpStudy8.1作为运行环境。

小皮面板官网:小皮面板-好用、安全、稳定的Linux服务器面板!

下载、安装即可。

frp配置

准备一个可以使用的域名和frp做内网穿透,关于frp的使用,本文不赘述。

笔者使用本次测试的域名为s*1.com,将7550端口(端口自定义)映射出来。

XSS Platform 平台搭建和使用

平台搭建

运行小皮面板,启动mysql数据库和Apache服务。

创建网站:xssplatform,填写相关信息。

配置伪静态规则

伪静态配置内容在项目目录的安装说明.txt中

将下载好的 xss platform 项目源代码解压放到网站目录xssplatform中。

http://s*1.com:7550/

填写数据库信息

导入成功

打开首页

功能介绍

登录成功之后会自动跳转到首页,如下图所示

在首页中可以看到有一个默认项目,点击default后可以看到受害者列表,不过刚刚安装肯定是还没有数据的,如下图所示

在图中右上方有一个查看代码的链接,点击进去便可以查看XSS Platform预备好的攻击代码,如下图所示

攻击测试实践

本文以ctfhub.com技能树 XSS反射型题为例。

配置xss.js

攻击测试

根据提示,把XSS平台给出的代码复制到第一个输入框中进行注入

提交后,在第二个框中访问第一个框注入XSS脚本后的网址

提交后,在XSS平台查看注入结果,即可得到flag

相关推荐
安全系统学习4 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
十一0829932 天前
【PDF-XSS攻击】springboot项目-上传文件-解决PDF文件XSS攻击
spring boot·pdf·xss
WHOAMI_老猫14 天前
渗透实战:绕过沙箱机制的反射型XSS
javascript·渗透测试·靶场·教程·xss
SuperherRo14 天前
Web攻防-XSS跨站&浏览器UXSS&突变MXSS&Vue&React&Electron框架&JQuery库&写法和版本
vue.js·electron·jquery·react·xss·mxss·uxss
巴巴_羊14 天前
xss和csrf
前端·xss·csrf
网络安全工程师老王16 天前
DOM型XSS深度渗透实战
网络安全·渗透测试·xss
胆大的19 天前
DOM-Based XSS(基于文档对象模型的跨站脚本攻击)
xss·安全性测试
WHOAMI_老猫21 天前
xss注入遇到转义,html编码绕过了解一哈
javascript·web安全·渗透测试·xss·漏洞原理
枷锁—sha22 天前
【DVWA系列】——xss(DOM)——High详细教程
前端·web安全·网络安全·xss
枷锁—sha1 个月前
【DVWA系列】——xss(Reflected)——Medium详细教程
前端·网络·web安全·网络安全·xss