python xss相关的编码解码小脚本
2024-08-21 20:28:53
1.功能分析:
实际工作中经常会遇到alert()之类的函数被防火墙过滤,而把alert()转化为ascii码放到String.fromCharCode()中就可以绕过,之前会一个一个查ascii表,比如a对应97,l对应108...最后得出alert(1)的ascii码97,108,101,114,116,40,49,41 发现这样太费时间,就用写了个python小脚本,方便做测试用.
后来索性又加了下面这些功能(支持解码),整体写的很挫很糙,但是这个不重要,用着方便就行了~~~
字符串←→ASCII码 a → 97
字符←→js-Unicode 特殊符号请在前面加^ a → \\u0061
字符串←→js-16进制 a → \\x61
字符串←→js-8进制 a → \\141
字符串←→html实体编码(16进制) a → a
字符串←→html实体编码(10进制) a → a
2.用法:
需要安装python3
python3 kpy.py 模式[a,A,b,B,c...] 字符
没有python3的话
用这个exe也阔以~~~
kpy.exe 模式[a,A,b,B,c...] 字符
字符串转ascii
python3 kpy.py a alert(1) |
>>97,108,101,114,116,40,49,41
ascii转字符串
python3 kpy.py A 97,108,101,114,116,40,49,41
>>alert(1)
3.代码分析:
太粗糙的代码,还分析个毛~~
#coding="utf-8"
import sys usage=''' +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
| 使用方式:python3 kpy.py N(模式:a,b,c...) S(需要转换的字符:) |
+ +
| python3 kpy.py a alert(1) |
+ >>97,108,101,114,116,40,49,41 +
| |
+ a(A) 字符串←→ASCII码 a → 97 +
| b(B) 字符←→js-Unicode 特殊符号请在前面加^ a → \\u0061 |
+ c(C) 字符串←→js-16进制 a → \\x61 +
| d(D) 字符串←→js-8进制 a → \\141 |
+ e(E) 字符串←→html实体编码(16进制) a → a +
| f(F) 字符串←→html实体编码(10进制) a → a |
by:mkdd@kpy
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
'''
print(usage) look=['"','\'','&','<','>']
name=['"','&apos',' &','<','>']
num10=['"',''','&','<','>']
num16=['"',''','&','<','>'] # 字符串转ASCII码
def aa(x):
a=[]
for i in x:
a.append(str(ord(i)))
return(','.join(a)) # 字符转 js-Unicode 特殊符号请在前面加^
def ab(x):
a=[]
for i in x:
a.append('\\u'+''*(4-len(str(hex(ord(i)))[2:]))+str(hex(ord(i)))[2:])
return(''.join(a)) # 字符串转 js-16进制
def ac(x):
a=[]
for i in x:
a.append('\\'+str(hex(ord(i)))[1:])
return(''.join(a)) # 字符串转 js-8进制
def ad(x):
a=[]
for i in x:
a.append('\\'+str(oct(ord(i)))[2:])
return(''.join(a)) # 字符串转 html实体编码(16进制)
def ae(x):
a=[]
for i in x:
a.append('&#x'+str(hex(ord(i)))[2:]+';')
return(''.join(a)) # 字符串转 html实体编码(10进制)
def af(x):
a=[]
for i in x:
a.append('&#'+str(ord(i))+';')
return(''.join(a)) # ASCII码转字符串,逗号隔开
def aA(x):
x=x.replace(' ',',').split(',')
for i in range(len(x)):
x[i]=chr(int(x[i]))
return(''.join(x)) # js-Unicode js-16 js-8转字符串
def aB(x):
return x.replace(',','')
def aC(x):
return x.replace(',','')
def aD(x):
return x.replace(',','') def aF(x):
for q in range(len(name)):
x=x.replace(name[q],num10[q])
if x[-1]==';':
x=x[:-1]
return aA(x.replace(';',',').replace('&#','')) def aE(x):
for q in range(len(name)):
x=x.replace(name[q],num16[q])
if x[-1]==';':
x=x[:-1].replace('&#x','').split(';')
for i in range(len(x)):
x[i]=chr(int(x[i],16))
return ''.join(x) b=("a%s(\'%s\')"%(sys.argv[1],sys.argv[2]))
print((20-len(eval(b)))*'-'+('\n'+(20-len(eval(b)))*' '+'|')*5+'\n'+(21-len(eval(b)))*' '+(20-len(eval(b)))*'-'+'→ '+eval(b)+'\n'*8)
最新文章
- Nova PhoneGap框架 第五章 文件结构
- nRF52832开发日志--SAADC调试
- java时间类型的转换/获取当前时间/将时间转换成String/将String转换成时间
- 图标:适配不同分辨 的 hdpi、mdpi、ldpi 文件夹
- [Asp.net 开发系列之SignalR篇]专题四:使用SignalR实现发送图片
- 解决android SwipeRefreshLayout recyclerview 不能下拉
- Trimmomatic安装与使用
- Qt之进程间通信(TCP/IP)
- box-flex 分割
- [Hibernate] List 映射例子
- linux之sed用法【转载】
- 运行tomcat7w.exe tomcat7.exe ,提示 指定的服务未安装 unable to open the service 'tomcat7'
- USB硬盘 raw之后,DiskGenius 恢复
- installshield学习笔记
- C风格字符串和C++ string 对象赋值操作的性能比较
- 用C语言写的万年历---亲手写的。好累哦
- 【原】font-awesome IE6支持代码本人测试成功
- [android] 手机卫士自定义滚动控件
- Python 字符编码简记
- Python-ccs动画及阴影