Fenjing 开源项目教程

项目介绍

Fenjing 是一个专门针对 CTF 比赛中 Jinja SSTI 绕过 WAF 的全自动脚本。该工具可以自动攻击给定的网站或接口，用户可以通过指定 URL 和配置选项进行网站扫描或表单攻击。Fenjing 支持自定义间隔、模式、HTTP 头和 Cookie 等，并提供了获取目标服务器 Flask 配置的功能。

项目快速启动

安装步骤

1. 克隆项目仓库

   git clone https://github.com/Marven11/Fenjing.git
   cd Fenjing
   

2. 创建虚拟环境

   python -m venv vv_fenjing
   

3. 激活虚拟环境

   • 在 CMD 中：

     vv_fenjing\Scripts\activate.bat
     

   • 在 PowerShell 中：

     vv_fenjing\Scripts\Activate.ps1
     

4. 安装依赖

   pip install -r requirements.txt -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com
   

使用示例

以下是一个简单的使用示例，展示如何使用 Fenjing 进行网站扫描：

python fenjing.py --url http://example.com --scan

应用案例和最佳实践

应用案例

Fenjing 在多个 CTF 比赛中被广泛使用，成功绕过 WAF 并获取目标服务器的 Flask 配置。以下是一个实际案例：

• 案例名称：CTF比赛中的Jinja SSTI 绕过
• 目标：绕过目标网站的 WAF 并获取 Flask 配置
• 工具配置：

  python fenjing.py --url http://ctf-challenge.com --scan --headers "User-Agent: Fenjing/1.0" --cookies "session=abc123"
  

最佳实践

• 自定义配置：根据目标网站的特性，自定义 HTTP 头和 Cookie，以提高绕过 WAF 的成功率。
• 定期更新：由于 WAF 规则不断更新，建议定期更新 Fenjing 工具以适应新的挑战。

典型生态项目

Fenjing 作为一个自动化工具，与以下生态项目紧密相关：

• Flask：目标服务器通常使用 Flask 框架，Fenjing 可以获取其配置信息。
• CTF 平台：Fenjing 主要用于 CTF 比赛中的安全挑战，与各种 CTF 平台集成。
• 安全工具集：Fenjing 可以与其他安全工具集（如 Burp Suite、Wireshark）结合使用，进行更全面的安全测试。

通过以上模块的介绍，您可以快速了解并使用 Fenjing 开源项目，进行高效的自动化安全测试。