通过vercel搭建一个免费且匿名的XSS平台

XSS平台

XSS漏洞需要一个XSS平台来接收打回来的cookie等操作,网上有很多的免费XSS平台,但是会把cookie发送给他们服务器,安全性有待考验。所以最稳妥的情况还是自己搭建一个XSS平台来使用。

自己搭建平台又会出现问题,高昂的服务器费用、安全、性能都是需要考虑的点。

通过github和vercel的Serverless Functions功能,可以搭建一个永久免费、闭源、匿名的XSS平台

1.vercel Serverless Functions

使用Vercel ,您可以部署Serverless Functions,这是用后端语言编写的代码片段,这些代码接受HTTP请求并提供响应。

您可以使用Serverless Functions来处理用户身份验证,表单提交,数据库查询等。

了解详情:Serverless Functions

2.XSS平台代码

基于蓝莲花的 BlueLotus_XSSReceiver

我修改完支持vercel的代码 vercel_xss_platform

3.改造

Serverless Functions在解析php代码时是这种形式

php -c php.ini -S 127.0.0.1:8000 -t /var/task/user/api/index.php

只会解析一个php文件,如果多个文件则会启用多个Serverless服务来解析,所以为了保证服务正常,需要建一个路由,通过设置index.php和vercel.json可以达到目的


由于部署以后文件不可写入,读取也有些问题,修改了一些其他细节

4.设置

在目录下 新建/修改 config.php文件,DATA_PATH必须为tmp,因为只有tmp目录可写

安装

1.登录github,fork项目

https://github.com/veo/vercel_xss_platform

PS: fork的项目为public,也可以自己建立一个private项目把文件push上去,vercel免费支持private项目

2.使用github账户注册/登录vercel

https://vercel.com/

3.导入项目并部署

为了安全起见可以选择只导入vercel_xss_platform项目



4.部署成功打开/login.php即可登录


5.设置域名

vercel 支持设置自己的域名

6.修改config.php文件,template里面js的website地址

生成登录密码

php -r '$salt="!KTMdg#^^I6Z!deIVR#SgpAI6qTN7oVl";$key="你的密码";$key=md5($salt.$key.$salt);$key=md5($salt.$key.$salt);$key=md5($salt.$key.$salt);echo $key;'


修改完成以后 git push到github上,vercel会自动重新部署

7.缺陷

由于Serverless服务器会在接口一段时间不使用时关闭,所以保存的xss记录、保存的会话都会丢失失效,建议使用邮件通知功能,这样基本上也不需要登录后台了

  • 版权声明: 本博客所有文章除特别声明外,著作权归作者所有。转载请注明出处!
  • Copyrights © 2016-2024 | Powered by veo
  •      访问人数: | 浏览次数: