本帖最后由 zhaorong 于 2021-5-28 16:23 编辑
写在前面
相信大家一定对源码泄露并不陌生 这里也不赘述这个漏洞的原理和危害了 网上一搜也都有好多好多 看都看不完~~~
那今天这里我们讲啥呢?那就直入主题吧~今天这里我就贴出我自己参考的加上自己写的fofa爬虫 + 源码泄露
PoC之梦幻联动 希望能对大家有帮助。我也只是个菜鸡 如果有不足请指正出来 一起学习~
fofa爬虫
因为这里我没钱 充不起会员 所以其中只能爬1—5页 应该能满足大部分人的需求了~反正我
满足了 因为我没钱 呜呜呜。
- import requests
- import time
- with open("url.txt", 'r') as temp:
- for url in temp.readlines():
- url = url.strip('\n')
- with open("web.txt", 'r') as web:
- webs = web.readlines()
- for web in webs:
- web = web.strip()
- u = url + web
- r = requests.get(u)
- # print("url为:"+u)
- print("url为:" + u + ' ' + "状态为:%d" %r.status_code)
- time.sleep(2) #想睡多久看自己~
- w = open('write.txt', 'w+')
- for web in webs:
- web = web.strip()
- u = url + web
- r = requests.get(u)
- w.write("url为:" + u + ' ' + "状态为:%d" %r.status_code + '\n')
梦幻联动第一步
先把web.txt准备好 里面放上自己想跑的目录 这里截取部分我的txt吧因为我的txt也很简陋
所以这里就不全贴出来了 想要的私聊我~
第二步
用fofa爬虫前首先我们需要获得其中的_fofapro_ars_session。
先要打开fofa 进行登录
然后去cookie中找到它 复制下来
然后就可以用fofa爬虫爬取我们所需要的url了 就像这样
然后按下回车 就会进行爬取 然后导入到我们的url.txt中,大家可以在这个文件中进行查看
也可以直接在PyCharm中查看。
这里如果不放心可以自己在fofa中搜索一遍进行比对 发现是一模一样的
下一步就是开始启动我们的源码泄露PoC了
这里直接Run它
然后就是进入等待阶段。等待的时候可以泡上杯咖啡喝 啊 舒服~
结束后 这份最后导出来的是叫write.txt。大家可以直接在PyCharm中看 也可以打开write.txt中查看
我相信大家都是会看状态码的,这里我就不赘述了。
测试结束
福利
这里如果是只想测试一个网站 我这里附上另外一个PoC 大家可以用下面这个PoC 这里就不给大家
演示了跟上面的差不多 只是这份最后导出来的是write easy.txt。
- import requests
- import time
- url='' #想扫哪个网站自行将url粘贴到这里
- with open("web.txt", 'r') as web:
- webs = web.readlines()
- for web in webs:
- web = web.strip()
- u = url + web
- r = requests.get(u)
- #print("url为:"+u)
- print("url为:" + u + ' ' + "状态为:%d"%r.status_code)
- time.sleep(2) #想睡多久看自己~
- w = open('write easy.txt', 'w+')
- for web in webs:
- web = web.strip()
- u = url + web
- r = requests.get(u)
- w.write("url为:" + u + ' ' + "状态为:%d"%r.status_code + '\n')
|
