前言

一般而言，搭建xss平台是不被允许的，但是由于教育的目的，搭建xss平台更能让学习者更加直观感受xss漏洞对我们的危害和它的重要性。

搭建xss平台

1.搭建xss平台的基础是在phpstudy一个集成环境上的，所有第一步要安装phpstudy（网上有教程就不演示了）

2.接着放出xss平台的源码

XSS平台项目名称：BlueLotus_XSSReceiver

作者：firesun（来自清华大学蓝莲花战队）

项目地址：https://github.com/trysec/BlueLotus_XSSReceiver

推荐原因：该xss平台是个人使用，而非多人使用，更加能满足自己的需求，并且安装简单。

安装过程：

下载phpstudy中的www目录下，phpstudy打开该网站

 安装之后，只需修改一些必要的数据，如下

注：密码一定要谨记，不要忘了

完成后访问该网站的login.php

注：之后打开该网站，可能出现白屏，不要慌张，访问index.php就可以了

xss平台的使用

实战获取cookie

访问公共模版中的default.js

修改右侧代码website一行括号内部分，格式为：'http://'+'/该站目录'+'/index.php'

该站目录即是上图URL中粗体部分，修改后，点击修改，以保存

然后进入'我得js'，创建文件，此处我取名为cookie，然后点击插入模版，选择刚刚的default.js模版，务必要点击‘新增’保存文件

然后点击生成payload

复制后进入dvwa靶场实战(pikachu靶场也行,只要存在xss漏洞)进行实战

提交后，返回xss平台

右下角已经有提示了，然后点击左侧的接受面板即可查看到cookie。

但是

但是一般我们这个payload管理员一眼就看出来了，所有我们可以对payload进行编码，但是我试过了，下图的编码，只能把所有payload，我把所有编码的payload填入dvwa都未能得到cookie，也就是失效了。

 所以我们只能对payload部分进行编码

推荐网站：HTML字符实体转换，网页字符实体编码

然后替代编码前的payload部分，发现成功得到cookie，到此实战就结束了。

留言

眼看不如实操，自己动手可以加深理解！！！

祝你们学习顺利！！！