web安全后渗透--XSS平台搭建及使用
xss平臺搭建
1、申請一個(gè)云主機(jī)來進(jìn)行建站:149.28.xx.xx
2、安裝lnmp:
wget http://soft.vpser.net/lnmp/lnmp1.5.tar.gz -cO lnmp1.5.tar.gz && tar zxf lnmp1.5.tar.gz && cd lnmp1.5 && ./install.shlamp
如果想安裝lanmp,就把最后的“lamp”修改為“lanmp”
如果安裝lamp建議安裝如下圖所示版本配置:
以下為安裝過程中需要進(jìn)行配置的選項(xiàng):
選擇默認(rèn)mysql版本:5.5.60
直接回車,待會還需要進(jìn)行修改密碼(默認(rèn)密碼會顯示在屏幕上可自行先進(jìn)行記錄)
這里寫Y
這里我選的是2
這里我選擇的是2,Apache的安裝也選擇的2(默認(rèn)版本)
接下來點(diǎn)擊回車后進(jìn)行安裝。安裝時(shí)間可能會過長,大概需要半個(gè)小時(shí)或一個(gè)小時(shí),具體視自己的網(wǎng)速而定。
安裝成功后會出現(xiàn)如下界面:
lnmp安裝的哪些軟件及安裝目錄:https://lnmp.org/faq/lnmp-software-list.html
3、現(xiàn)在是安裝完成了,還需要修改一下數(shù)據(jù)庫的密碼
先把服務(wù)停掉:/etc/init.d/mysql stop
以安全模式進(jìn)入mysql:./user/local/mysql/bin/mysqld_safe --skip-grant-tables
另開一個(gè)終端進(jìn)入mysql:mysql -u root
MySQL5.7版本以下:修改user表中的數(shù)據(jù):UPDATE mysql.user SET Password=PASSWORD('xiao') where USER='root' and host='127.0.0.1' or host='localhost';
MySQL5.7:修改user表中的數(shù)據(jù):update mysql.user set authentication_string=password('newpassword') where user='root' andhost='127.0.0.1' or host='localhost';
刷新一下數(shù)據(jù)庫的表:FLUSH PRIVILEGES;
退出數(shù)據(jù)庫并重新進(jìn)入:quit; / mysql -u root -p xiao(修改的新密碼)
4、訪問phpmyadmin站點(diǎn)
http://149.28.xx.xx/phpmyadmin/ 登錄的用戶和密碼就是mysql數(shù)據(jù)庫的用戶和密碼
5、上傳包并修改配置文件
略
6、配置域名
1)、購買域名
這里我是在阿里云 -- 萬網(wǎng)下購買的域名
2)、配置域名與IP解析
阿里云與域名解析配置,我個(gè)人感覺比較方便快捷,也有新手引導(dǎo)
xss平臺使用
1、尋找存在xss問題的地方
2、使用xss平臺
目前網(wǎng)上有一些開放的xss平臺可以使用,但不能保證使用后劫持的會話和一些后滲透階段獲取的信息不被他人非法使用,所以不建議使用網(wǎng)上開放的xss平臺。
這里我使用的我自己搭建的xss平臺。
簡單使用操作:
1、登錄后創(chuàng)建一個(gè)項(xiàng)目:項(xiàng)目名稱和項(xiàng)目描述
2、配置代碼,3中我選擇的是默認(rèn)的配置代碼。當(dāng)然這里也可以自定義代碼,you can you do
3、項(xiàng)目代碼,如下所示:
4、點(diǎn)擊完成,即配置好了。
3、使用xss平臺打出來的cookie信息:
--------------------------------------------------------上圖、下圖------------------------------------------------------
總結(jié)
以上是生活随笔為你收集整理的web安全后渗透--XSS平台搭建及使用的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: django 返回ajax html,D
- 下一篇: KEAZ128 时钟配置