初涉Django框架

Posted 2021-03-10 weak-chicken

前言：web应用开发框架是帮助程序员更方便的开发web应用，如果开发应用是盖房子，框架相当于毛坯房，cms(内容管理系统)则是商品房。

　　   cms就是将网站的栏目模型全部开发好了，用户可以直接使用了，它是傻瓜级操作。

　　   框架只是面向程序员的，普通用户是用不了的，因为看不懂。框架就是将一些常用操作封装起来，并给合一些设计模式，用来规范和简化程序员的开发流程。

　　   CMS是已经实现了的内容管理系统网站， 很多网站都是基于某个CMS来二次开发的

　　　而框架只是提供了主要程序代码 和 代码目录架构，方便开发者利用些框架来开发系统

做XCTF题目时涉及到Django框架，Django框架报错时会有项目路径泄露，django项目文件夹下一般有个settings.py文件是设置网站数据库路径（django默认使用的的是sqlites数据库），如果使用的是其它数据库的话settings.py则设置用户名和密码。除此外settings.py还会对项目整体的设置进行定义。读取settings.py文件，这里需要注意django项目生成时settings.py会存放在项目目录下再以项目名称命名的文件夹下面。

同上将报错信息已html文件打开，可看到一些敏感信息：

同样在使用@读取数据库信息

参考题目题解：https://adworld.xctf.org.cn/task/writeup?type=web&id=4658&number=3&grade=1&page=2