hackxor渗透平台环境的配置与使用

      最近在学习网络渗透方面的知识，为了加强动手能力，找了一些开源的渗透平台用于练习。大部分是PHP+Mysql和JSP应用。在搭建环境和使用过程中产生了一些心得，为了方便以后的温习，撰文以记之。
      hackxor是黑客albino的一个渗透平台作品，包含常见的漏洞XSS、CSRF、SQL注入、RCE等。下载链接为：http://sourceforge.net/projects/hackxor 下载文件hackxor11.7z比较大，因为作者很奇怪把整个虚拟机的镜像都放上去了。

     环境配置步骤如下：

• 解压hackxor11.7z文件，用vmvare虚拟机打开hackxor.vmx文件，打开后可以发现，虚拟机是fedora14，登录虚拟机的用户名root密码hackxor。

• 在虚拟机的/usr/share/tomcat6目录中可以看到所有渗透平台的代码（/home/hackxor/allSites目录下是应用程序代码的备份）。该目录下的start.sh程序是用于启动服务，install.sh是安装渗透平台，update.sh是升级tomcat6和mysql的脚本，切记千万不要升级，升级之后由于tomcat版本和相关java类库不同，程序会报500 Error错误，修改起来很麻烦，而且对于单纯的测试网站的性能完全没有必要升级。

• 运行start.sh脚本开启tomcat6和mysqld服务，fedora下查看 进程命令是：

  ps -aux ,service tomcat6 status,service mysqld status

  用于查看tomcat6和mysql的运行状态，需要确定虚拟机中启动tomcat6和mysqld服务。

• 修改主机中的host文件，win7是在C:\Windows\System32\drivers\etc目录下，虚拟机的网络适配器应该设为自定义模式(此模式下虚拟机和主机在一个特定的虚拟网络下)，将主机的host 文件中添加如下内容，

  		192.168.10.133 wraithmail 
  		192.168.10.133 wraithbox
  		192.168.10.133 cloaknet
  		192.168.10.133 GGHB
  		192.168.10.133  hub71
  		192.168.10.133  utrack 

  其中192.168.10.133 为虚拟机的IP地址。虚拟机网络配置如下

• 在主机中访问http:// 如图，环境配置成功。

      搭建环境只是第一步，重要的是摸索该程序的XSS、CSRF、SQL注入、RCE等漏洞，欢迎大家讨论自己发现的漏洞和相关exp。