搭建xsser环境过程以及遇到的坑

先说一下搭建xsser的基本过程吧。

服务器环境：Apache+php+mysql (Windows 10)

 

1、先进入phpmyadmin中新建一个数据库，用于待会存放xsser的数据，名字可以随便取，如xxsplatform：

 

2、然后把xsser的源码（放在文末了）解压，放在网站的目录下，我的是D:/AppServ/www/XSS

下面要执行几步操作：

（1）到phpmyadmin中，打开刚刚新建的数据库xxsplatform，选择导入，把D:/AppServ/www/XSS目录下的xssplatform.sql导入进数据库中。

（2）执行SQL命令，将数据库中的xxser.me的网址改为本机的地址：

UPDATE oc_module SET code=REPLACE(code,'http://xsser.me','http://localhost/xss')

(3)修改D:/AppServ/www/XSS目录下的config.php文件，主要修改内容为红框部分：

数据库信息：包括地址、用户名和密码和数据库名，这些要与你本机的数据库信息一致，数据库名填我们刚刚创建的xxsplatform。

 

注册模式要改成 normal，即正常注册模式

 

网站URL填你网站实际存放的地址，我的是XSS

 

（4）验证XSS目录下authtest.php的域名是否是本机地址，如果不是则修改：

 

3、完成以上4步之后，可以在浏览器打开127.0.0.1/xss，注册用户啦

如无意外会注册成功，接下来打开phpmyadmin中修改用户的权限：打开oc_user表，选择刚刚创建的用户，将其adminlevel改成1（root权限）。

 

4、接下来执行最后一步，配置伪静态文件，如果这一步没配置好的话，后面xsser生成的项目链接将不可访问，没办法做漏洞测试。

在XSS目录下新建文件 .htaccess （前面有个 . 没有后缀）

 

输入以下代码，保存即可。

RewriteEngine On

RewriteBase /xss

RewriteRule ^([0-9a-zA-Z]{6})$ /xss/index.php?do=code&urlKey=$1 [L]



RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /xss/index.php?do=do&auth=$1&domain=$3 [L]

RewriteRule ^register/(.*?)$ /xss/index.php?do=register&key=$1 [L]

RewriteRule ^register-validate/(.*?)$ /xss/index.php?do=register&act=validate&key=$1 [L]

 

 

下面说说遇到的坑：

1、注册用户失败

我也不知道为什么，试了好多遍还是提示注册失败，后面把文件和数据库全删掉，重新来一遍，就可以了，可能是我第一次的配置过程有问题，某些配置文件写错了。

 

2、配置伪静态文件不成功

把 .htaccess文件写好之后，打开127.0.0.1/xss之后提示 500 Internal Server Error，网上一番搜索，可能的原因如下：

（1）apache的配置中没打开AllowOverride，所以规则不能重写，解决方法如下：把Apache配置文件httpd.conf打开（在Apache目录下），将相关代码改为（原本AllowOverride这里是none）：

Options FollowSymLinks

AllowOverride All

Order allow,deny

Allow from all

（2）mod_rewrite模块没有打开，把Apache配置文件httpd.conf中的LoadModule rewrite_module modules/mod_rewrite.so这一行前面的注释符#删掉

 

 

但是我修改了配置还是不成功，依然提示500 Internal Server Error，很烦恼，遂打开Apache错误日志，发现错误信息如下：

D:/AppServ/www/XSS/.htaccess: RewriteEngine must be On or Off

 

但是我htaccess文件中明明打开了RewriteEngine，怎么会提示这个呢？然后我尝试把On改成Off，居然可以访问了？我又把Off改回On，不能访问了，但是错误信息改变了，变成了：

 

D:/AppServ/www/XSS/.htaccess: RewriteRule: bad flag delimiters

？？？怎么错误变了？？翻译大概是错误的分隔符的意思。很自然联想到，是不是代码中有编码错误？但是我仔细检查一番，跟一些参考书上的一模一样，也没有中文符号。很是沮丧，尝试将代码手打一遍（原来那个代码是网上copy的），奇迹出现了，居然成功了。。。

 

所以应该是网上的代码复制下来的之后，存在一些奇奇怪怪的编码问题，看不到。。但就是有问题。所以如果大家发现跟我一样的报错，还是老老实实手打一遍吧。。。

 

 

最后附上xsser的源代码：

链接: https://pan.baidu.com/s/17LwVYE3KTxWwBCZ0JGZ6kw 提取码: aqyx