[SSTI自动化工具]Fenjing安装说明

         介绍:焚靖是一个针对CTF比赛中Jinja SSTI绕过WAF的全自动脚本,可以自动攻击给定的网站或接口。

        下载地址:   GitHub - Fenjing


        安装教程:

Step1.首先将压缩包解压,然后进入其目录创建一个虚拟Venv环境

python -m venv vv_fenjing

Step2.进入对应的Venv虚拟环境,对Venv虚拟环境有疑问的可以看完之前的博客

CMD : 
vv_fenjing\Scripts\activate.bat
PowerShell : 
vv_fenjing\Scripts\Activate.ps1

Step3.安装对应的依赖

pip install -r requirements.txt -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com


 官方使用说明:

Usage: python -m fenjing scan [OPTIONS]

  扫描指定的网站

Options:
  -u, --url TEXT       需要扫描的URL
  -e, --exec-cmd TEXT  成功后执行的shell指令,不填则进入交互模式
  --interval FLOAT     每次请求的间隔
  --detect-mode TEXT   检测模式,可为accurate或fast
  --user-agent TEXT    请求时使用的User Agent
  --header TEXT        请求时使用的Headers
  --cookies TEXT       请求时使用的Cookie
  --help               Show this message and exit.

Usage: python -m fenjing crack [OPTIONS]

  攻击指定的表单

Options:
  -u, --url TEXT       form所在的URL
  -a, --action TEXT    form的action,默认为当前路径
  -m, --method TEXT    form的提交方式,默认为POST
  -i, --inputs TEXT    form的参数,以逗号分隔
  -e, --exec-cmd TEXT  成功后执行的shell指令,不填则成功后进入交互模式
  --interval FLOAT     每次请求的间隔
  --detect-mode TEXT   分析模式,可为accurate或fast
  --user-agent TEXT    请求时使用的User Agent
  --header TEXT        请求时使用的Headers
  --cookies TEXT       请求时使用的Cookie
  --help               Show this message and exit.

Usage: python -m fenjing get-config [OPTIONS]

  攻击指定的表单,并获得目标服务器的flask config

Options:
  -u, --url TEXT      form所在的URL
  -a, --action TEXT   form的action,默认为当前路径
  -m, --method TEXT   form的提交方式,默认为POST
  -i, --inputs TEXT   form的参数,以逗号分隔
  --interval FLOAT    每次请求的间隔
  --detect-mode TEXT  分析模式,可为accurate或fast
  --user-agent TEXT   请求时使用的User Agent
  --header TEXT       请求时使用的Headers
  --cookies TEXT      请求时使用的Cookie
  --help              Show this message and exit.

举例:CTFShow Web365

启动Fenjing-Web页面

然后开始梭哈:

  • 4
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值