python使用requests库提交multipart/form-data请求
今天渗透测试的时候,发现一个接口可以越权遍历出用户的敏感信息,然后想编写python脚本将所有信息都给dump下来。当我查看请求数据的时候,是如下这样的。不同于之前的请求数据是json可以直接使用data然后封装成字典就可以进行发送请求
这里的content-type是 multipart/form-data
multipart/form-data
Multipart/form-data其实就是上传文件的一种方式。我对它的翻译是 “多部分表单数据” ;在生活中其实经常用到,比如说,在写邮件时,向邮件后添加附件,附件通常使用表单添加,也就是用multipart/form-data格式上传到服务器。
http协议本身的原始方法其实并不支持multipart/form-data请求,它是由post方法来组合实现的
- multipart/form-data与post方法的不同之处(请求头,请求体)
- multipart/form-data的请求头必须包含一个特殊的头信息:Content-Type,且其值也必须规定为multipart/form-data,同时还需要规定一个内容分割符用于分割请求体中的多个post的内容,如文件内容和文本内容自然需要分割开来,不然接收方就无法正常解析和还原这个文件了。
multipart/form-data的请求体也是一个字符串,不过和post的请求体不同的是它的构造方式,post是简单的name=value值连接,而multipart/form-data则是添加了分隔符等内容的构造体,格式如下:
------WebKitFormBoundaryA0Srut8TBztAofvx
Content-Disposition: form-data; name="grant_type"
password
------WebKitFormBoundaryA0Srut8TBztAofvx
其中第一行是自定义的分割符,需要与请求头中规定的分割符相同。
其实根据前言中的例子,可以很容易看出,这个请求体是多个类似的部分组成的:每一个部分都是以–加分隔符开始的,然后是该部分内容的描述信息,然后一个回车,然后是描述信息的具体内容;如果传送的内容是一个文件的话,那么还会包含文件名信息,以及文件内容的类型。最后会以–分割符–结尾,表示请求体结束。
Python 发送 multipart/form-data
如下,我们要模拟post如下的数据包,那我们如何发送post的数据携带以下红色框中的参数了?
1. 重要代码如下
data = {"id":(None,'899')}
requests.post(xx,files=data)
2. headers中的Content-Type需要注释掉,发送请求的时候会被自动加上,否则会报错
编写的python requests请求脚本如下
运行然后使用proxychains抓取流量如下,成功模拟的请求发送
相关文章
- 用 Python 帮小伙伴找到头上一片绿的证据!
- 为什么在 Windows 下用 Ctrl+Z 退出 Python 而 Linux 下用 Ctrl+D 呢?
- 进入内核态究竟是什么意思?
- 事实证明:要想获得Windows 10 管理员权限,只需插入“雷蛇鼠标”即可
- Windows 10电脑怎么合并不相邻磁盘?
- 聊聊 top 命令中的 CPU 使用率
- 微软:严格执行Windows 11配置要求 不合格拒绝升级
- 聊一聊脚本执行方式,你学会了吗?
- 一日一技:Linux 中,没有 Zip命令,怎么生成 Zip 文件?
- API网关才是大势所趋?SpringCloud Gateway保姆级入门教程
- Github Action 快速上手指南
- 【线上问题排查技巧】动态修改LOGGER日志级别
- 【线上排查实战】AOP切面执行顺序你真的了解吗
- 【一】飞桨paddle【GPU、CPU】安装以及环境配置+python入门教学
- python相关常见安装问题
- 《利用python进行数据分析》笔记章节索引
- 《python核心编程《第二版》》笔记章节索引
- Python库【数据处理、机器学习、大数据、文件处理等14个类的所有python库整理】
- 记录python循环引用带来的MemoryError错误解决
- python 两个字典对比