请问大佬如果这里要求post请求必须以123开头该如何操作，用了extra-data不行

Marven11 / Fenjing

专为CTF设计的Jinja2 SSTI全自动绕WAF脚本 | A Jinja2 SSTI cracker for bypassing WAF, designed for CTF

Mozilla Public License 2.0

737 stars 46 forks source link

Closed xtyy0510 closed 3 months ago

xtyy0510 commented 3 months ago

解决了，用文本形式就可以，不过不能绕过.号，这有一题过滤了.和__就不行了

Marven11 commented 3 months ago

你们是在打什么比赛吗，怎么都是问这个的（

具体可以参考一下 #33 ，打完可以让我看看题目

xtyy0510 commented 3 months ago

是一场新生赛，等到下周三本周结束，才能放wp

xtyy0510 commented 3 months ago

BaseCTF的

xtyy0510 commented 3 months ago

那一题题目叫复读机

Marven11 commented 3 months ago

去看了那题，解题方法有倒是有，在写新版本，但是得等比赛结束了才能更新

xtyy0510 commented 3 months ago

okok，我再找找别的手工方法

Marven11 commented 3 months ago

其实旧版也是可以解的，只不过需要自己手动fuzz出被waf的keyword传给fenjing生成payload

xtyy0510 commented 3 months ago

怎么设置waf呀，是用python导入库还是用--replaced-keyword-strategy命令行呢？

Marven11 commented 3 months ago

用python导入