首页 > itarticle > ctf线下赛

ctf线下赛

admin 1月 23, 2021 0

明天就要线下赛了,

记录一下抓web流量的方式。

挖洞这方面,

挖洞是不可能挖洞的,

这辈子都不可能挖洞。

挖洞又不会挖,

就是偷偷大佬们的payload,

才能维持的了生活这样子。

lx

抓流量php脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 


error_reporting(0);

function (){

 $f = fopen("/tmp/access_log", "a+");

    $d = "[". date("Y-m-d H:i:s") . "] " . $_SERVER['REMOTE_ADDR'] . " -> ".$_SERVER['REQUEST_URI']." n";

    foreach($_GET as $key => $value){
       $d .= "   $_GET[".$key."] => ".$value ."n";
   }
    foreach($_POST as $key => $value){
        $d .= "   $_POST[".$key."] => ".$value ."n";
    }
    foreach($_COOKIE as $key => $value){
        $d .= "   $_COOKIE[".$key."] => ".$value ."n";
    }
    foreach($_SERVER as $key => $value){
        $d .= "   $_SERVER[".$key."] => ".$value."n";
 }
    foreach($_FILES as $key => $value){
        $d .= "   $_FILES[".$key."] => ".$value."n";
   }
    fwrite($f, $d);
  fclose($f);
}

if(LOADED == "LOADED"){
  debug();
 define("LOADED", "TRUE");
}

?>

批量挂载脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
import os

base_dir = '/var/www/html' #web路径

def scandir(startdir) :
    
    os.chdir(startdir)
    for obj in os.listdir(os.curdir) :
        path = os.getcwd() + os.sep + obj
        if os.path.isfile(path) and '.php' in obj:
            modifyip(path,'<?php','<?phpnrequire_once('/var/www/html/waf.php');') #强行加一句代码
        if os.path.isdir(obj) :
            scandir(obj)
            os.chdir(os.pardir) 

def modifyip(tfile,sstr,rstr):
    try:
        lines=open(tfile,'r').readlines()
        flen=len(lines)-1
        for i in range(flen):
            if sstr in lines[i]:
                lines[i]=lines[i].replace(sstr,rstr)
        open(tfile,'w').writelines(lines)
        
    except Exception,e:
        print e
        

scandir(base_dir)

部署完成之后会将日志写在tmp下面
文件为access_log

微海报分享

近期文章

近期评论

标签

热门

文章归档

分类目录

功能