APMServ搭建教程：利用xss.me构造跨站攻击

搭建教程                 欢迎访问网络安全导航网站：www.anq123.com

1、搭建网站环境，我这里用的是APMServ 5.2.6。注意APMServ程序所在路径不能含有汉字和空格。MySQL默认用户名：root，密码为空。
2、下载xsser.me的源码，解压缩到相应的目录xss。
3、使用phpMyAdmin在mysql中新建一个数据库xss，将该目录下的“xss.sql”文件导入该数据库。点击执行后，可以看到已经创建好了表。
4、执行下面的sql语句，改为自己的域名，这里我用的是本地主机搭建的环境。所以直接使用了ip地址“120.219.13.151”。
"UPDATE oc_module SET code=REPLACE(code,'http://xss.alisec.cn','http://120.219.13.151/xss')"
5、修该网站目录下面的config.php文件，根据具体情况和注释。
主机:'localhost'。
用户：'root'
密码''
数据库名'xss'
表名前缀oc_
注册normal
起始url为http://120.219.13.151/xss


6、 访问网站测试一下，然后注册一个新的帐号。因为上面设置了normal模式，所以这里邀请码随便填。
7、在这里提交注册时旧的版本点击提交注册后会没反应，查看源码，会发现‘type="button"’,要改为“submit”才能提交。
注意：如果登陆成功后网站是一片空白的话，则需要编辑php.ini

打开php.ini文件, 找到output_buffering = 改为on或者任何数字。
8、进行xss的时候还需要做一件事情，就是url重写。只需要在网站目录下创建一个“.htaccess”文件即可。（仅针对Apache） 
文件内容如下：
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ index.php?do=register&key=$1
RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1