Fenjing 开源项目教程
Fenjing项目地址:https://gitcode.com/gh_mirrors/fe/Fenjing
项目介绍
Fenjing 是一个专门针对 CTF 比赛中 Jinja SSTI 绕过 WAF 的全自动脚本。该工具可以自动攻击给定的网站或接口,用户可以通过指定 URL 和配置选项进行网站扫描或表单攻击。Fenjing 支持自定义间隔、模式、HTTP 头和 Cookie 等,并提供了获取目标服务器 Flask 配置的功能。
项目快速启动
安装步骤
-
克隆项目仓库
git clone https://github.com/Marven11/Fenjing.git cd Fenjing
-
创建虚拟环境
python -m venv vv_fenjing
-
激活虚拟环境
- 在 CMD 中:
vv_fenjing\Scripts\activate.bat
- 在 PowerShell 中:
vv_fenjing\Scripts\Activate.ps1
- 在 CMD 中:
-
安装依赖
pip install -r requirements.txt -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com
使用示例
以下是一个简单的使用示例,展示如何使用 Fenjing 进行网站扫描:
python fenjing.py --url http://example.com --scan
应用案例和最佳实践
应用案例
Fenjing 在多个 CTF 比赛中被广泛使用,成功绕过 WAF 并获取目标服务器的 Flask 配置。以下是一个实际案例:
- 案例名称:CTF比赛中的Jinja SSTI 绕过
- 目标:绕过目标网站的 WAF 并获取 Flask 配置
- 工具配置:
python fenjing.py --url http://ctf-challenge.com --scan --headers "User-Agent: Fenjing/1.0" --cookies "session=abc123"
最佳实践
- 自定义配置:根据目标网站的特性,自定义 HTTP 头和 Cookie,以提高绕过 WAF 的成功率。
- 定期更新:由于 WAF 规则不断更新,建议定期更新 Fenjing 工具以适应新的挑战。
典型生态项目
Fenjing 作为一个自动化工具,与以下生态项目紧密相关:
- Flask:目标服务器通常使用 Flask 框架,Fenjing 可以获取其配置信息。
- CTF 平台:Fenjing 主要用于 CTF 比赛中的安全挑战,与各种 CTF 平台集成。
- 安全工具集:Fenjing 可以与其他安全工具集(如 Burp Suite、Wireshark)结合使用,进行更全面的安全测试。
通过以上模块的介绍,您可以快速了解并使用 Fenjing 开源项目,进行高效的自动化安全测试。