本地XSS平臺搭建

服務器環境要求

PHP：無版本要求

Apache：無版本要求

操作系統：Windows server 2008

(其他版本兼容以下軟件即可)

web環境可以使用phpstudy2016軟件一鍵搭建

（也可使用其他的軟件：小皮面板、xampp、寶塔）

搭建本地XSS測試環境

一、啟動phpstudy打開網站根目錄

二、把源碼放到網站根目錄，解壓到當前文件夾

三、啟動PHP和Apache服務

四、訪問虛擬機的ip進入XSS測試網站

點擊xss—master進入站點

BlueLotus_XSSReceiver XSS平臺搭建

XX平臺介紹：

XSS平臺名稱：BlueLotus_XSSReceiver

GitHub下載地址：https://github.com/firesunCN/BlueLotus_XSSReceiver

項目作者：firesun（來自清華大學藍蓮花戰隊）

一、XSS平臺安裝

1、啟動phpstudy打開網站根目錄

2、把XSS平臺源碼放到網站根目錄，解壓到當前文件夾

3、啟動PHP和Apache服務

4、進入XSS平臺安裝頁面

在瀏覽器URL欄輸入：
http://127.0.0.1/BlueLotus_XSSReceiver-master/install.php

修改過端口號在ip的后面加上端口號
http://127.0.0.1:端口號/BlueLotus_XSSReceiver-master/install.php

5、點擊安裝

6、配置參數

修改XSS平臺的后臺登錄密碼和數字加密密碼

除了密碼其他的都可以保持默認

密碼修改后點擊提交按鈕

二、XSS平臺獲取Cookie測試

1、進入XSS平臺

http://127.0.0.1/BlueLotus_XSSReceiver-master/login.php

點擊登錄

輸入安裝過程中設置的后臺登錄密碼

2、配置公共模塊

配置公共模板default.js

修改js代碼中的網站地址為

http://服務器IP地址/index.php

修改后

點擊修改按鈕進行修改

3、創建“我的JS”模板

進入“我的JS”模塊輸入要創建的模板名:getcookie

選擇公共模板default.js

點擊插入模板

點擊新增按鈕創建好我們的模板

點擊生成payload

把生成的payload復制下來打到我們認為存在XSS的地方

4、開始測試

進入搭建的本地XSS測試環境的站點

把我們生成的payload復制到name=后面

按回車鍵提交XSS語句

可以看到已經獲取到了Cookie

問題解析：

1、如果有打不過cookie的情況檢查一下服務器之間是否能相互ping通

2、想用本地的XSS平臺使用到外部站點的話，需要把平臺搭建到一臺公網服務器上或者使用內網穿透