搭建HTTPS XSS漏洞利用平台

转载已于 2022-09-26 18:54:58 修改 · 826 阅读

CC 4.0 BY-SA版权

原文链接：https://blog.csdn.net/wuguojiuai/article/details/117938968?spm=1001.2014.3001.5502

文章标签：

#php #数据库 #开发语言

于 2022-09-26 18:51:48 首次发布

网络安全工具的使用专栏收录该内容

6 篇文章

订阅专栏

本文介绍了XSS Platform的功能更新，包括邮件提醒、飞信短信提醒等功能，并提供了详细的升级步骤和配置指南，涵盖Nginx及Apache环境下的SSL证书配置。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

功能：

升级方式：

证书文件目录

Nginx环境配置证书方法(证书目录只有两个文件的)：

Apache环境配置证书方法（证书目录有三个文件的）：

证书合并步骤：

web安全学习了解： web渗透测试
官网：宣紫科技

功能：

1、新增了邮件提醒功能

（若想生效自行修改文件\source\function.php 257行把里面的邮箱账号密码换一下）

2、新增飞信短信提醒功能

（同上修改\source\api.php 72行应该只支持移动手机号吧?）

3、新增短网址功能

（创建项目时就看得到了借鉴了wooyun http://zone.wooyun.org/content/10175 不过我不是修改的文中提到的文件

文中的文件推断是模版的临时文件）

4、增加个人设置功能

（其实就是为了方便修改手机号和邮箱而已~还可以关闭邮件和短信提醒哦~）

5、使用Bootstrap框架，界面更美观。

升级方式：

1、直接使用本包提供的所有文件（别忘了修改config.php .htaccess）

2、在原有的xsser.me源码基础上升级:

首先直接覆盖所有文件！

然后在数据库中,oc_user表中添加两个字段，根据xssplatform.sql添加下吧~

1、修改config.php里面的数据库连接字段，包括用户名，密码，数据库名，访问URL起始和伪静态的设置。

2、在web根目录下有一个xssplatform.sql，导入库。

3、进入数据库执行语句修改域名为自己的。

UPDATE oc_module SET

code=REPLACE(code,'http://xsser.me','http://yourdomain/xss')

同时替换authtest.php中的网址代码

备注：注册成功用户后，修改管理员表中的adminlevel为1时可定义自身为最高管理员可发送邀请码

4、建立.htaccess文件写入以下代码：

RewriteEngine On

RewriteRule ^([0-9a-zA-Z]{6})$ /xss/index.php?do=code&urlKey=$1 [L]

RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /xss/index.php?do=do&auth=$1&domain=$3 [L]

RewriteRule ^register/(.*?)$ /xss/index.php?do=register&key=$1 [L]

RewriteRule ^register-validate/(.*?)$ /xss/index.php?do=register&act=validate&key=$1 [L]

RewriteRule ^login$ /xss/index.php?do=login [L]

范例：

//apache

RewriteEngine On

RewriteBase /

RewriteRule ^([0-9a-zA-Z]{6})$ /index.php?do=code&urlKey=$1 [L]

RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /index.php?do=do&auth=$1&domain=$3 [L]

RewriteRule ^register/(.*?)$ /index.php?do=register&key=$1 [L]

RewriteRule ^register-validate/(.*?)$ /index.php?do=register&act=validate&key=$1 [L]

</IfModule>

//nginx

rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 last;

rewrite "^/do/auth/(\w+?)(/domain/([\w\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last;

rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 last;

rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 last;

备注-最全修改指南：

xss平台搭建（使用xsser.me源码）_blrk的博客-CSDN博客

数据库名：xss

用户：root

密码：root

ftp123

RG4fEnC6rz

UPDATE oc_module SET code = REPLACE( code,'http://www.xxx.com','https://www.xxxx.com')

证书文件目录

大部分免费证书（指阿里/腾讯申请的），都会有以下四个文件夹。面板只需要用到nginx或apache的，其他无需理会。

Nginx环境配置证书方法(证书目录只有两个文件的)：

进入nginx（证书）目录，有以下两个文件
其中红框.key后缀的是服务器私钥，填入面板证书的左边红框中（用文本编辑器完整复制粘贴进去）
蓝框.crt后缀的是证书（也可能是pem后缀），填入面板证书的右边蓝色框中（用文本编辑器完整复制粘贴进去）

然后保存即可。

Apache环境配置证书方法（证书目录有三个文件的）：

进入apache（证书）目录，有以下三个文件
其中红框.key后缀的是服务器私钥，填入面板证书的左边红框中（用文本编辑器完整复制粘贴进去）
蓝框域名证书紫框root根证书两张证书则需要合并填入面板证书的右边蓝框中（用文本编辑器完整复制粘贴进去）若不合并只填蓝框域名证书手机访问就会报缺失证书链/不安全等

证书合并步骤：

以下是文本编辑器里的截图，蓝色域名证书放上面的蓝框中紫框root根证书放下面的紫框中（注意完整）

保存即可。

需要注意的是，开启ssl之后，其他未开启ssl的站点用https访问会自动访问到已部署好ssl的站点。
若安全组未放行443（ssl）端口，会造成无法https访问。
大部分免费CDN不支持SSL，若有用CDN无法正常访问的，可以尝试关闭访问。
若要开启强制https，请确保自己站点没有做其他301跳转（伪静态/js）。