0x00 前言

XSS——跨站脚本攻击，是一个主流的web安全漏洞，主要分为反射型、存储型和DOM型。攻击者可以利用XSS漏洞获取管理员的cookie信息，然后使用该cookie信息登陆到系统后台，从而进一步攻破系统。而打管理员cookie信息的平台就叫XSS平台，晚上也有很多搭建好的，虽然也能注册使用，但是你打到的cookie别人也能看到，这样的话，总感觉不安全，所以就自己搭建了一个平台自己使用，哈哈哈。

0x01 环境需求

vps：1G 512M即可传送门

域名：腾讯云阿里云

宝塔面板

PHP 7版本

XSS平台源码

0x02 vps购买

可参考https://www.mad-coding.cn/2019/08/09/onedrive-oneindex打造属于自己的个人网盘/

0x03 域名购买

可参考[https://www.mad-coding.cn/2019/08/09/onedrive-oneindex打造属于自己的个人网盘/

0x04 宝塔面板的安装

大家根据自己的vps系统选择对应的安装脚本命令，一件之行安装，非常方便

entos**安装命令：**

1	yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh

Ubuntu/Deepin**安装命令：**

1	wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh

Debian**安装命令：**

1	wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && bash install.sh

Fedora**安装命令**:

1	wget -O install.sh http://download.bt.cn/install/install_6.0.sh && bash install.sh

LNMP环境的安装

输入你的vps IP:8888宝塔面板后台，然后会弹出让你选择安装LAMP环境还是LNMP环境，我使用的是LNMP环境，记住PHP版本需要使用7版本以上。

0x05 开始搭建

5.1 新建站点

首先需要在宝塔面板中新建一个站点叫xss.你的域名.com

需要从GitHub中下载xss平台的源码传送门，下载好源码后，上传到xss.你的域名.com站点下，记住，需要将压缩包的内容解压到站点根目录下。

2.2设置伪静态

在网站->设置

在伪静态中添加相关带代码

【apache方式】

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^([0-9a-zA-Z]{6})$ /index.php?do=code&urlKey=$1 [L]
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$  /index.php?do=do&auth=$1&domain=$3 [L]
RewriteRule ^register/(.*?)$ /index.php?do=register&key=$1 [L]
RewriteRule ^register-validate/(.*?)$ /index.php?do=register&act=validate&key=$1 [L]
</IfModule>

【nginx方式】

rewrite "^/([0-9a-zA-Z]{6})" /index.php?do=code&urlKey=1 last;
rewrite "^/do/auth/(\w+?)(/domain/([\w.]+?))?" /index.php?do=do&auth=1&domain=3 last;
rewrite "^/register/(.*?)" /index.php?do=register&key=1 last;
rewrite "^/register-validate/(.*?)" /index.php?do=register&act=validate&key=$1 last;