1.打开日志文件url解码进行观察,很明显传输的一段base64编码,随意解码一条发现为:var_dump(ord(file_get_contents('maybeinthisfile.php')[55])==90),即对任意几条进行base64解码发现是在爆破maybeinthisfile.php中的字符串:
并且状态码多为216,猜测当状态码为215时,为正确的字符串值:
2. 写一个脚本取出其中状态码为215的base64编码字符串进行解码:
#coding:utf-8
import base64
from urllib2 import *
f=open('seescess.log','r')
s=f.read().split('?')
M=[]
for i in s:
if 'f=' and '215' in i:
a=base64.b64decode(urlparse.unquote(i.split('f=')[1].split(' ')[0]))
# print(a)
m = a.split('==')[1].split(')')[0]
M.append(m)
# print M[1:]
dic = M[1:]
arr = list(map(int,dic)) #将数组中的字符串转换为整型
flag = ""
for i in arr:
flag+=chr(i)
print flag