XSS平台部署文档 - 网站安全 - 自学php

作者： Str0ng 团队：www.anying.org 转载请注明，违者必究 原文：http://www.anying.org/thread-40882-1-1.html QQ weibo: http://t.qq.com/F4ck_Str0ng 0x00 前言 0x01空间类 0x02 VPS类 0x03 SAE类 0x00前言 上班后一直没啥大时间来整理写这些繁杂的东西，本文有网上现成的我觉得可用并且本人亲自测试后的才复制过来的，其他均为原创，转载请保留ID，不胜感激。像我这样的穷屌丝用SAE是最明智的选择，但是有SAE没有备案的域名你就别折腾绑域名了，一个是很卡，二个是芸豆消耗会很大，有些有VPS的高富帅们你们直接用VPS吧，最后说下用空间的朋友，我们用空间被空间商所限制，所以遇到些问题还是自己解决吧，xsser.me的源码我在空间里至今未成功，因为需要URL重定向的支持。。。但是你们用空间搭建成功的麻烦说来我们可以抛砖引玉来交流。好了不多说了，希望大家能为本文提出意见或者建议，也可以分享下你的搭建XSS平台经历或经验，让我们一起共同的学习。 0X01空间类 我使用的程序如下 xssing @Yaseng 空间环境是2k3 + iis6.0 http://www.webweb.com/   不是广告只是纯粹的搭建测试用 首先我们测试xssing 源码地址 http://code.google.com/p/xssing/ 作者一些常见问题里已经写的很清楚了   首先我们去\xssing1.3\apps\index\action\User.Action.php修改如下的东西 Admin这个参数可以自定义 比如改成sb 或者你也可以不改默认 \xssing1.3\config\mysql.php 打开编辑填入对应数据库信息 \xssing1.3\uauc\define.php 修改为你的当前URL地址 至此文件修改部分结束，然后请把\xssing1.3\xing.sql 的xing.sql导入数据库 对应的库名里导入库 然后我们上传我们之前修改好的xssing. FTP部分我省略了这太尼玛简单不会的自己去百度吧 架设成功后请去你刚刚改的注册地址获取注册码注册 http://你的地址//?m=user&a=get_incode&token=你改的参数&n=10 测试成功 插到的数据 0X02、VPS类 1). Apache 坏境 xsser.me搭建过程： 1、 首先搭建php的环境，我这里用的是wamp2.2的版本，可以很方便的搭建起php环境。 2、 下载xsser.me的源码，解压缩到相应的目录。 这里我只拷贝了[xssplatform]目录，并重命名为了[xss]。 然后是使用phpMyAdmin在mysql中新建一个数据库，将该目录下的[xssplatform.sql]文件导入该数据库。 3、 点击执行后，可以看到已经创建好了表。 4、 执行下面的sql语句，改为自己的域名，这里我用的是本地主机搭建的环境。所以直接使用了ip地址[192.168.0.104]。 [UPDATE oc_module SET code=REPLACE(code,’http://xsser.me’,’http://192.168.0.104/xss’)] 5、 修该网站目录下面的cong.php文件，根据具体情况和注释，修改以下几项。 6、 访问网站测试一下，然后注册一个新的帐号： 7、在这里提交注册时旧的版本点击提交注册后会没反应，查看源码，会发现‘type="button"’,要改为[submit]才能提交。我的就是旧版本，没办法，去改吧。o(T ︿︶)o!  8、 找到如下所示的目录可以发现这个文件。然后可以直接修改type为[submit]。然后刷新页面就可以注册了。但是这个文件是一个临时生成的文件，重新生成该文件时可能还会碰到这样的问题，所以还要修改源文件中的type。 临时文件的目录： 源文件的目录： 9、然后创建一个项目测试下，看下平台时候搭建好。 10、我们要使用下面的地址进行xss的时候还需要做一件事情，就是url重写。只需要在网站目录下创建一个[.htaccess]文件即可。 文件内容如下： <IfModule mod_rewrite.c> RewriteEngine on RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1 RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3 RewriteRule ^register/(.*?)$ index.php?do=register&key=$1 RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1 RewriteRule ^login$ index.php?do=login </IfModule> 11、创建一个html文件然后浏览器访问这个html文件，测试一下。 12、测试成功。接下需要给自己点权限，然后可以发放邀请码。修改user表里相应用户的的adminLevel项的值为[1]即可。phpmyadmin里直接双击修改即可。或者执行sql语句 [UPDATE `xss`.`oc_user` SET `adminLevel` = '1' WHERE `oc_user`.`id` =1 LIMIT 1 ;]。 13、然后修改config.php文件，经注册配置为只允许邀请注册。然后重新登录。 14、然后访问[http://192.168.0.104/xss/index.php?do=user&act=invite]页面，发放邀请码。 这个页面的临时文件与源文件的修改类似的在下面这两个个文件中。 15、这时随便乱填邀请码会出现下面的提示： 使用正确的邀请吗注册一个： 2).IIS (本文摘自2cto) Lmy分享,搭建过程遇到的问题和解决方法如下：   ======================================= 前奏：   1 、用命令解压xssplatform.zip，然后修改config.php里面的数据库连接字段，包括用户名，密码，数据库名，访问URL起始和伪静态的设置。 2、在web根目录下有一个xssplatform.sql，导入库，然后导入data.sql(注意先后顺序) 3、 进入数据库执行语句修改域名为自己的。   UPDATE oc_module SET  code=REPLACE(code,'http://xsser.me','http://yourdomain/xsser’)  一：期初注册用户时点击【提交注册】无反应，解决方法如下：  找到themes\default\templates目录下的register.html  修改第53行代码中 <input id="btnRegister" type="button" onclick="Register()" value="提交注册" />  改为    <input id="btnRegister" type="submit" onclick="Register()" value="提交注册" />  ==========================================================    二：接下来遇到蛋疼的就是短链接404，这个在社区找了很多Rewrite，在IIS测试都没成功， 终于解决了。    出现如下状况：    http://XXXXX.XXX/Ft3Su0?1371909034 这样的连接404    http://xxxxx.XXX/index.php?do=code&urlKey=Ft3Su0 正常。    解决方法：    1、下载ISAPI Rewrite3 full版本    下载地址：http://www.2cto.com/soft/201307/40397.html   下载好之，先安装ISAPI_Rewrite3_0073.msi，安装完成之后，打开  C:\Program Files\Helicon\ISAPI_Rewrite3（默认安装）  把RAR包里面的ISAPI_Rewrite.dll和在包里面有个绿色版文件夹的ISAPI_RewriteSnapin.dll复制出来覆盖到程序目录（先备份）。  还有记得给ISAPI_Rewrite3软件安装目录network service的读权限，rar包里面有安装说明。    操作完之后打开Helicon Manager.exe，找到自己的网站，然后右侧有edit按钮，把下面的规则粘贴上去就行了。    Rewrite的规则：RewriteEngine On     RewriteRule ^([0-9a-zA-Z]{6})$ /index.php?do=code&urlKey=$1 [L] RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /index.php?do=do&auth=$1&domain=$3 [L] RewriteRule ^register/(.*?)$ /index.php?do=register&key=$1 [L] RewriteRule ^register-validate/(.*?)$ /index.php?do=register&act=validate&key=$1 [L]   之后重启IIS搞定 0x03 SAE 新浪云 SAE类的搭建 @奇迹 已经为我们封装好了代码大家去申请一个SAE的云创建下项目上传下代码按照下面的步骤安装即可 step1：导入数据库文件 step2：执行sql 替换数据库中写死的xsser.me sql:UPDATE oc_module SET code=REPLACE(code, 'http://xsser.me', 'http://你懂的.sinaapp.com'); step3：修改配置文件中的 发送邮件的邮箱和密码，config.php文件倒数2-3行。。修改$config['urlroot']为你的域名 step4：请确定已经初始化了你的sae上的mysql和memcache 如果你还有问题，请关注我的微博并 @齐迹2010 你确定已经关注我的微博了？那就开始下载把 click 原版下载： click （安装步骤基本同上config.php需要增加数据库相关配置，可参考http://zone.wooyun.org/content/3897） BAE版本下载： click （安装步骤基本同上config.php需要增加 数据库 相关配置，以及init.php末尾发邮件相关参数） BAE安装后访问白板：我故隐藏了默认访问。登录请在您的域名后面加上/index.php?do=login

查看更多关于XSS平台部署文档 - 网站安全 - 自学php的详细内容...