怎样搭建用于web渗透的XSS测试平台？请准备好一台电脑即可 _web渗透

本文仅用于讨论网络安全技术，以保护信息安全为目的，请勿用于非法用途！
XSSXSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台，XSS可以做JS能做的所有事，包括但不限于窃取cookie、后台增删改文章、钓鱼、利用XSS漏洞进行传播、修改网页代码、网站重定向、获取用户信息（如浏览器信息、IP地址）等。

文章插图

XSS下载本课使用的是xsser.me的源码。
大家请前往《web渗透实战指南》共享文件夹获取下载，你也可以关注小白嘿客、私信获取！还有更多kali、web、Android/ target=_blank class=infotextkey>安卓嘿客渗透技术。
将xss下载到win7靶机（安装在WAMP web应用平台的win7），然后解压，如图。

文章插图

进入Xss测试平台文件夹，将最里面的目录“XSS”重命名为“xss” 。
将这个重命名的文件夹xss复制到win7靶机web目录下的www中。

文章插图

添加xss平台数据库打开win7的数据库管理软件“phpmyadmin”，在数据库中新建名为“xssplatform”数据库。
提醒：如果win7靶机有过重启，就需要重新双击桌面的W图标开启WAMP web平台，直到右下角W图标变成绿色，而且显示服务器在线！
打开phpmyadmin数据库管理页面，点击数据库，写入“xssplatform”，点击创建，左边数据库列表就会多出“xssplatform”

文章插图

点击数据库页面左边列表的“xssplatform”，然后点击右边导航栏中的“导入”，导入win7 www目录下xss目录下的xssplatform.sql数据库主体文件，点击打开！

文章插图

导入之后，点击上图中页面下的“执行”，就会显示正在上传，并且出现这个页面！

文章插图

导入完成了！
配置xss以及访问xss测试平台现在修改配置文件config.php（在xss目录下），必须修改成如图所示，然后使用ctrl+S保存！

文章插图

数据库中执行查询语句
这一条语句：
update oc_model setcode=REPLACE(code,’http://xsser.me’,’http://127.0.0.1/xss’)
这条语句的意思就是：将原来访问xss平台的url地址转换成我们定义的 127.0.0.1/xss进行访问！
现在去执行：回到数据库管理页面，打开刚刚创建的左边列表“xssplatform”数据库，然后点击“SQL”，将上面的语句一个个输入到输入框中（不能复制粘贴，否则出现语法错误），然后后面一定要添加一个英文;符号，最后点击执行。

文章插图

然后就会看到下图，表示成功修改成127.0.0.1/xss来访问

文章插图

我们来使用win7靶机本地浏览器试下这个URL 127.0.0.1/xss，就会变成如下图所示：

文章插图

注册、登录
点击上图中的注册，然后像下图这样填写即可。（除了用户root和密码123456要记得，手机号随便填一个11位数，也可以不写，其他随意）（这是创建xss平台的第一个用户，作为root用户，属于开放注册）

文章插图

此时就会看到注册成功，进入下图：

文章插图

重新进入phpmyadmin管理页面，点击xssplatform数据库名，点击这个数据库中的表oc_user，在右边中，将注册用户的adminLevel改成数字1（双击数字0，写入1）。
改成数字1，表明上一步我们注册的root用户现在开始具备最高权限，而且其他用户现在开始注册时必须是使用注册码来注册，也就是说停止开放注册的能力！