• 服务器:windows 2008 32 bit

• 开发语言：python+sql

• 数据库：MySQL Server(5.0)

1.配置视频 https://pan.baidu.com/s/1jIhAwJG

​ 2.相关安装包

​ 2.1 找到python的安装目录，将..\Python27\Scripts路径添加到系统环境变量

​ 2.2在该项目目录下，打开命令行，输入 pip install -r requirement.txt

​ 2.3 下载并安装相应的MySQL驱动程序 下载链接 https://pan.baidu.com/s/1c274WH6

​ 1.数据库安装（略）

​ 2.将目录下的SQL文件导入数据库（hack）

​ 3.分别将web目录、SafeWeb目录下的sqlDB目录下的config文件修改成自己的数据库地址、端口等

​ 4.网站默认账户与密码: admin admin

​ 1.安卓服务端配置

​ 1.1在web的目录下，在命令行的状态下，输入“python Cweb.py 81” ，开始服务器的81端口。

​ 1.2可选开启: 自动获取FQ二维码，并在主页显示，目前该网站已停止维护

​ 2.Web服务器配置

​ 1.3同样在WebSafe目录下，在命令行的状态下，输入“python Pweb.py 8080”

​ 3.Message服务器配置

​ 1.4 在当前目录的config.py中修改您自己的key（个推api）

# encoding=utf-8
'''
此文件用来存储安卓推送配置
'''
APPID = ''
APPKEY = ''
MASTERSECRET = ''
CID=''
HOST = 'http://sdk.open.api.igexin.com/apiex.htm'

​ 3.2在mWEB.py文件夹下修改自己的url地址,其格式："http://xxxxx:8080/xssindex"

​ 3.1 在Message的目录下，在命令行中输入“python mWEB.py 7777”

​ 1.说明采用个推的SDK进行配置，详情请参见官方文档

​ 2.关键配置:在 app/build.gradle 文件中的 android.defaultConfig 下添加 manifestPlaceholders ,配置个推相关的应用参数

manifestPlaceholders = [
GETUI_APP_ID : "APP_ID",
GETUI_APP_KEY : "APP_KEY",
GETUI_APP_SECRET : "APP_SECRET"
]

​ 3.在network包的类与MainActivity修改相应的url，改为安卓服务器的url与端口

​ 1.弱口令检测:FTP、Mysql、Mssql

​ 2.GET请求方式的反射型XSS

​ 3.GET请求方式的SQL注入检测

​ 4.XSS通知

​ 5.FQ二维码（网站已挂）

​ 1.弱口令等相关检测

​ 2.查看扫描信息

​ 3.简易XSS平台

​ 1.接受XSS，并通知给APP

​ 1.没做规划，想到哪写到哪，代码有点乱

​ 2.APP的相关内容边学边做，留了好几块硬伤

​ 3.没规划，数据库做的不好

​ 1.完善弱口令机制，采取训练1***06的相关数据得到常用弱口令算法（已完成30%）

​ 2.弱口令的连接方式，尝试手写socket实现

​ 3.采取浏览器伪装(已完成70%)

​ 4.增加post方式、头注入等多种方式进行检测

​ 5.重构数据库（很重要）

​ 6.增加代理池（已完成50%）寻找更多的代理资源

​ 7.Android网络请求、服务深入

​ 8.完善XSS平台（参考已有的案例）

​ 9.增加域名检测、后台扫描、敏感信息、poc验证等功能

​ 联系方式 ​:e-mail:​:hlpureboy@gmail.com