Python正则使用之无脑小技巧
最近闲得无聊整理些资料,有时要写点小脚本小插件,无奈本人就爱喝酒不爱敲代码,刚学会敲的代码等喝完酒可能又忘了。。。个人认为渗透思路还是更重要吧,当然代码敲得好更好吧。。。
百度一路各种抄袭复制粘贴修改也弄了几个脚本出来了。。。
之后想在国产渗透测试框架MST中加点简单的漏洞插件,如:dede5.7_recommend.php_SQLInject,
--
这个简单的GET注入,其他没问题,吗的提取html输出的正则不会写,,,虽然很简单哈。
突然想到结合burpsuite工具的正则提取功能来写,估计很多人知道哈,,,这东西起码比国外那些正则辅助工具看起来简单好用多了,
首先浏览器访问recommend.php漏洞EXP并burp抓包发送到intruder,随便标注个攻击参数和payload进行attack
--
然后右键发送初始payload数据包到define extract grep...选项这里
--
勾选右边正则选项并鼠标框住下面数据包的账号密码字段,然后正则就默认出来了。。。
--
为了让匹配更准确,对正则稍作修改如下,运行mst工具成功返回正确数据。。。
--
无脑的人干无脑的事,少动脑,年轻态。
评论27次
那个正则根据具体页面不同每次都要改……
正则根据具体页面不同每次都要改。。真是让人头疼的东西啊
我是很烦正则的。。。
mysql应该用concat 加几个自定义关键字就ok了。
可以的,学xi了
这个方法挺方便的,学xi到了
正则不经常用,特别容易忘。
r'\|[\s\S]*?</h2>\r\n</div>' 用这个好些 .*不能匹配换行符 前两天写脚本脱一个菠菜库搞了半天不知道哪里报错, 后来才发现是这个问题
编程怕正则,渗透怕秃顶
以前真不知道这个,今天学xi到了
这样子生成的正则成功率高嘛,get到了
正则得多看看就差不多把
主要是看了容易忘记,贼容易,现在看记住了,写完过两天哎我去又不知道了。。。我电脑保存着正则图每次写正则都打开
先简单soup匹配一下,然后用这个正则匹配,基本能%100命中了
编程真让人头疼,专业开发也头疼
正则表达式都会写。。。百度下用php(或者熟悉的语言)的正则方法不就可以了?
用最简单的方式实现自己的想法,哈哈,懒人小技巧
误报高,说明你payload有问题没必要用|来拼接,用~~来拼接就没误报了
以前一直是用burp弄正则。好用
正则得多看看就差不多把
正则真让人头疼的东西啊
正则不是不好学,只是容易忘