使用

安装依赖

1
pip install mitmproxy

运行脚本

1
python xssc.py

1
import sys
2
from mitmproxy import http
3
import urllib.parse
4
from mitmproxy.tools.main import mitmdump
5

6
class Addon:
7
    def request(self, flow: http.HTTPFlow):
8
        # 匹配提交url
9
        if flow.request.pretty_url.startswith("http://baodao.*.edu.cn/XSSC/Question.aspx?tid="):
10
            # 拦截请求，修改body
11
            old_body = flow.request.get_text()
12

13
            # 解析原来的POST数据，它是一个字符串，我们需要将它转换为一个字典
14
            data = urllib.parse.parse_qs(old_body)
15

16
            # 修改判断答案是否正确参数
17
            key = 'ctl00$ContentPlaceHolder1$RBL_Answer'
18
            if key in data:
19
                data[key] = ['1']  # dictionary的值需要是一个列表
20

21
            # 把修改后的字典再转换回来为字符串
22
            new_body = urllib.parse.urlencode(data, doseq=True)
23

24
            # 更新请求体
25
            flow.request.set_text(new_body)
26

27
addons = [
28
    Addon()
29
]
30

31
if __name__ == "__main__":
32
    sys.argv.append('-s')
33
    sys.argv.append(__file__)
34
    mitmdump()

设置代理并安装证书

将答题端与脚本运行端连接同一个网络，答题端设置代理与端口，访问https://mitm.it选择对应证书，下载并安装，最后信任证书。

答题

进入答题界面，单选随意，多选永远选A。

2025.10.29编辑

闲来无事翻旧脚本发现了这个，然后仔细看了下请求体，发现viewstate可以直接解码，对于单选题，通过解码后的文本便能提取答案，而多选题依旧是选A便判对，这种实现方法虽然不如直接修改请求来的简单快捷，但也更安全。

解码部分

1
First: ARRAY (System.String[])
2
   (0) A.特别优秀的学生 (System.String)
3
   (1) B.家庭经济困难且品学兼优的学生 (System.String)
4
   (2) C.创新创业表现突出的学生 (System.String)
5
   (3) D.社会实践表现突出的学生 (System.String)
6
Second: ARRAY (System.String[])
7
   (0) 0 (System.String)
8
   (1) 1 (System.String)
9
   (2) 0 (System.String)
10
   (3) 0 (System.String)
11
Third: ARRAY (System.Boolean[])
12
   (0) True (System.Boolean)
13
   (1) True (System.Boolean)
14
   (2) True (System.Boolean)
15
   (3) True (System.Boolean)

(1) 1 (System.String)对应的(1) B.家庭经济困难且品学兼优的学生 (System.String)即为正确答案。

示例代码

1
import sys
2
import urllib.parse
3
import base64
4
import re
5
import json
6
import os
7
from mitmproxy import http
8
from mitmproxy.tools.main import mitmdump
9

10
# --- 配置 ---
11
TARGET_URL = "http://baodao.*.edu.cn/XSSC/Question.aspx?tid="
12
JSON_FILE = "question_bank.json"
13
# DEBUG_LOG_FILE = "viewstate_dump.txt" # 调试日志文件 (已禁用)
14
# --- 配置结束 ---
15

16
# def log_debug(message): # 调试日志函数 (已禁用)
17
#     """打印调试信息"""
18
#     # print(f"[DEBUG] {message}")
19
#     pass
20

21
# def dump_to_file(content): # 转储函数 (已禁用)
22
#     """将原始 ViewState 写入文件以便分析"""
23
#     # try:
24
#     #     with open(DEBUG_LOG_FILE, 'a', encoding='utf-8') as f:
25
#     #         f.write(content + "\n" + "="*20 + "\n")
26
#     # except Exception as e:
27
#     #     print(f"[ERROR] 无法写入调试文件: {e}")
28
#     pass
29

30
def load_question_bank():
31
    if os.path.exists(JSON_FILE):
32
        try:
33
            with open(JSON_FILE, 'r', encoding='utf-8') as f:
34
                # 使用 set 来存储已知题目的 question 字符串，以便快速查找
35
                bank_data = json.load(f)
36
                known_questions = set(bank_data.keys())
37
                return bank_data, known_questions
38
        except json.JSONDecodeError:
39
            print(f"[ERROR] {JSON_FILE} 文件损坏, 将创建新文件。")
40
            return {}, set()
41
        except Exception as e:
42
            print(f"[ERROR] 加载题库时出错: {e}")
43
            return {}, set()
44
    return {}, set()
45

46
def save_question_bank(bank):
47
    try:
48
        with open(JSON_FILE, 'w', encoding='utf-8') as f:
49
            json.dump(bank, f, ensure_ascii=False, indent=2)
50
    except IOError as e:
51
        print(f"[ERROR] 无法写入题库文件: {e}")
52

53
class ViewStateSniffer:
54
    def __init__(self):
55
        self.bank, self.known_questions = load_question_bank()
56
        print(f"[INFO] 启动 ViewState 嗅探器... 已加载 {len(self.bank)} 道题目。")
57
        print(f"[INFO] 拦截目标: {TARGET_URL}")
58
        print(f"[INFO] 题库文件: {JSON_FILE}")
59
        # print(f"[INFO] 调试日志: {DEBUG_LOG_FILE} (原始 ViewState 将被转储于此)") # 已禁用
60
        # 清空上次的调试日志 (已禁用)
61
        # if os.path.exists(DEBUG_LOG_FILE):
62
        #     os.remove(DEBUG_LOG_FILE)
63

64
    def parse_viewstate_bytes(self, data: bytes):
65
        # log_debug("开始解析 ViewState 二进制数据...")
66
        try:
67
            # 1. 解码为 UTF-8 文本
68
            text = data.decode('utf-8', errors='ignore')
69
            # log_debug(f"UTF-8 解码后文本 (前 500 字符): {text[:500]}")
70

71
            # 2. 提取题目
72
            q_match = re.search(r'(\d+\.\s.*?（\s*）)', text)
73
            if not q_match:
74
                q_match = re.search(r'(\d+\..*?\([^\)]*\))', text) # 兼容英文括号
75

76
            if not q_match:
77
                # log_debug("[PARSE_FAIL] 步骤 2 失败: 未找到题目")
78
                return None, [], None
79

80
            question = q_match.group(1).strip()
81
            # log_debug(f"[PARSE_OK] 步骤 2 成功: 找到题目: {question}")
82

83
            # 3. 提取选项
84
            options_text = text[q_match.end():]
85
            # log_debug(f"开始在以下文本中查找选项 (前 300 字符): {options_text[:300]}")
86
            options_matches = re.findall(r'([A-D]\.[^\x00#,<]+)', options_text)
87
            options = [opt.strip().rstrip(',').rstrip('#').strip() for opt in options_matches][:4]
88

89
            if len(options) != 4:
90
                # log_debug(f"[PARSE_FAIL] 步骤 3 失败: 找到 {len(options)} 个选项，不等于 4。")
91
                # log_debug(f"找到的选项: {options}")
92
                # log_debug("尝试后备选项提取逻辑...")
93
                options = []
94
                temp_options_text = text[q_match.end():]
95
                for opt_char in ['A', 'B', 'C', 'D']:
96
                    opt_match = re.search(rf'({opt_char}\.[^\x00]+?)(?=[A-D]\.|\x00|\x14|\x15|$)', temp_options_text)
97
                    if opt_match:
98
                        options.append(opt_match.group(1).strip().replace('\x00', ''))
99
                        temp_options_text = temp_options_text[opt_match.end():]
100
                    else:
101
                        if len(options) < 3:
102
                            # log_debug(f"后备逻辑在查找 '{opt_char}.' 时中断。")
103
                            options = []
104
                        break
105

106
                if len(options) != 4:
107
                     # log_debug(f"后备逻辑失败，找到 {len(options)} 个选项。")
108
                     return None, [], None
109

110
            # 清理可能混入的不可见字符或二进制片段
111
            cleaned_options = []
112
            for opt in options:
113
                # 找到第一个非文本常见字符的位置
114
                end_pos = -1
115
                for i, char in enumerate(opt):
116
                    # 允许字母数字、中文、标点、空格、制表符、换行符
117
                    if not ('\u4e00' <= char <= '\u9fff' or 'a' <= char.lower() <= 'z' or '0' <= char <= '9' or char in '().,，。（） \t\n'):
118
                         if i > 2: # 至少保留 A. 等前缀
119
                            end_pos = i
120
                            break
121
                if end_pos != -1:
122
                    cleaned_options.append(opt[:end_pos].strip())
123
                else:
124
                    cleaned_options.append(opt.strip())
125
            options = cleaned_options
126

127
            # 再次检查选项数量
128
            if len(options) != 4:
129
                 # log_debug(f"清理后选项数量 ({len(options)}) 仍不为 4，跳过。")
130
                 return None, [], None
131

132

133
            # log_debug(f"[PARSE_OK] 步骤 3 成功: 找到选项: {options}")
134

135
            # 4. 提取答案数组
136
            ans_match = re.search(b'\x01([\x30\x31])\x01([\x30\x31])\x01([\x30\x31])\x01([\x30\x31])', data)
137

138
            if not ans_match:
139
                # log_debug("[PARSE_FAIL] 步骤 4 失败: 未找到答案数组")
140
                return None, [], None
141

142
            answers = [ans_match.group(i).decode() for i in range(1, 5)]
143
            # log_debug(f"[PARSE_OK] 步骤 4 成功: 找到答案数组: {answers}")
144

145
            # 处理多选题，实际无用，多选题未在请求体暴露答案
146
            # 5. 查找所有正确答案索引
147
            correct_indices = [i for i, val in enumerate(answers) if val == '1']
148

149
            if not correct_indices:
150
                # log_debug("[PARSE_FAIL] 步骤 5 失败: 答案数组中没有 '1'。")
151
                return None, [], None
152

153
            # 检查索引是否有效
154
            if any(index >= len(options) for index in correct_indices):
155
                # log_debug(f"[PARSE_FAIL] 步骤 5 失败: 找到的正确答案索引 {correct_indices} 包含超出选项列表长度 {len(options)} 的值")
156
                return None, [], None
157

158
            # 组合所有正确答案的文本
159
            correct_answer_texts = [options[i] for i in correct_indices]
160
            correct_answer = ", ".join(correct_answer_texts) # 用逗号分隔多个答案
161
            # log_debug(f"[PARSE_OK] 步骤 5 成功: 正确答案为 {correct_answer}")
162

163
            return question, options, correct_answer
164

165
        except Exception as e:
166
            print(f"[ERROR] 解析 ViewState 时发生严重异常: {e}")
167
            import traceback
168
            traceback.print_exc()
169
            return None, [], None
170

171
    def request(self, flow: http.HTTPFlow):
172
        if not flow.request.pretty_url.startswith(TARGET_URL):
173
            return
174

175
        if flow.request.method != "POST" or not flow.request.content:
176
            return
177

178
        # log_debug(f"拦截到目标 POST 请求: {flow.request.pretty_url}")
179

180
        try:
181
            form_data = flow.request.get_text()
182
            parsed_data = urllib.parse.parse_qs(form_data)
183
        except Exception as e:
184
            print(f"[ERROR] 解析 POST 表单数据失败: {e}")
185
            return
186

187
        if '__VIEWSTATE' not in parsed_data:
188
            # log_debug("请求中未找到 __VIEWSTATE 字段。")
189
            return
190

191
        viewstate_b64 = parsed_data['__VIEWSTATE'][0]
192

193
        # log_debug(f"找到 __VIEWSTATE (长度: {len(viewstate_b64)})。正在转储到 {DEBUG_LOG_FILE}...") # 已禁用
194
        # dump_to_file(viewstate_b64) # 已禁用
195

196
        try:
197
            decoded_bytes = base64.b64decode(viewstate_b64.encode('latin-1'))
198
        except Exception as e:
199
            print(f"[ERROR] Base64 解码 ViewState 失败: {e}")
200
            return
201

202
        question, options, correct_answer = self.parse_viewstate_bytes(decoded_bytes)
203

204
        if not question:
205
            # log_debug("在此 ViewState 中未找到完整题目信息，跳过。") # 已禁用
206
            # print("-" * 40) # 已禁用
207
            return
208

209
        # 只在题目是新的时候才打印和保存
210
        if question not in self.known_questions:
211
            tid = flow.request.query.get('tid', 'unknown')
212

213
            print("=" * 40)
214
            print(f"✅ [嗅探成功] - 截获一道新题目")
215
            print(f"  TID: {tid}")
216
            print(f"  题目: {question}")
217
            for opt in options:
218
                print(f"    {opt}")
219
            print(f"  [!!] 正确答案: {correct_answer}")
220
            print("=" * 40)
221

222
            self.bank[question] = {
223
                'tid': tid,
224
                'question': question,
225
                'options': options,
226
                'correct_answer': correct_answer
227
            }
228
            self.known_questions.add(question) # 将新题目加入已知集合
229
            save_question_bank(self.bank)
230
            print(f"[INFO] 发现新题目！已保存到 {JSON_FILE}")
231
        # else: # 如果题目已知，则静默处理
232
            # log_debug(f"题目 '{question[:30]}...' 已存在于题库中，跳过打印。")
233

234
# Mitmproxy addon 入口
235
addons = [
236
    ViewStateSniffer()
237
]
238

239
if __name__ == "__main__":
240
    # 从 TARGET_URL 提取域名
241
    try:
242
        domain = urllib.parse.urlparse(TARGET_URL).hostname
243
        if not domain:
244
            raise ValueError("无法从 TARGET_URL 提取域名")
245
    except Exception as e:
246
        print(f"[CRITICAL] 无法解析 TARGET_URL: {e}")
247
        print("请确保 TARGET_URL 格式正确 (例如: http://example.com/path)")
248
        sys.exit(1)
249

250
    print("Mitmproxy ViewState嗅探脚本启动中...")
251
    print(f"请将你的设备代理指向 mitmproxy 运行的端口 (默认为 8080)")
252
    print(f"[INFO] 已设置控制台过滤器，将只显示来自 <{domain}> 的流量。")
253

254
    sys.argv.append('-s')
255
    sys.argv.append(__file__)
256
    sys.argv.append('-q')
257
    # 添加 mitmproxy 过滤器表达式，只显示目标域名的流量
258
    sys.argv.append(f"~d ^{domain}$") # 使用^和$确保精确匹配
259

260
    mitmdump()

顾绯

使用