ezXss

y35u大佬推荐的一个老外写的xss平台,感觉看起来蛮简单的

github:https://github.com/ssl/ezXSS

安装方法

摘自y35u大佬

要php7.0以上的版本
**必须**开启https,但是不要强制走https
也就是说http,https都要能访问到
创建一个数据库
数据库信息配置在src/Database.php文件中
访问/manage/install 进行安装
默认安装之后,setting下面的Filters要开启记录
(也可以开启记录和邮件收信)
默认是不记录任何数据的,

apache伪静态.htacess

只要把manage的访问指向index.php即可

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

nginx的伪静态规则

#ignored: "-" thing used or unknown variable in regex/rew 
if (!-f $request_filename){
    set $rule_1 1$rule_1;
}
if (!-d $request_filename){
    set $rule_1 2$rule_1;
}
if ($rule_1 = "21"){
    rewrite /. /index.php last;
}

安全建议

把代码里有远程加载的文件都本地话,以免作者放后门!



渗透测试

本博客所有文章除特别声明外,均采用 CC BY-SA 3.0协议 。转载请注明出处!