你尚未登录
未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。
@路人甲:先祝P牛五一劳动节快乐😎。最近在做webshell检测的工作,是我自己的小论文研究方向。想请教一下关于整个检测架构方面的经验,我想用docker搭建一个漏洞环境的靶机,比如说用vulhub的环境,然后用各类加密型webshell管理工具,比如蚁剑、哥斯拉、冰蝎(原版或魔改之后)去连接靶机环境,并做进一步的操作,同时用tcpdump去监听靶机的流量,接着把pcap包发给zeek和suricata解析,再发给filebeat和logstash过滤一下,拿到有关键字段的json格式的流量记录,再把这个json交给机器学习分类器(具体怎么做特征工程和训练这里就不展开探讨),最后通过可视化展现出来。之前我都是在本机上进行这些实验性的操作,后来发现这样可移植性太差了,并且样本也不够丰富,所以想重新构思一下,目前想的是用docker compose来编排,github上也有看到用k8s的,但是我可能对这些还是不太熟悉,有点抽象,不知道P牛有没有相关经验可以指导一下。(有些地方描述比较含糊还请见谅)
@Noob:大大您好~我有一个参数解析问题,源于您的博文一些不包含数字和字母的webshell | 离别歌 《一些不包含数字和字母的webshell》 GET参数值有(‘%01’^’`’)但是URL好像并没有把%编码为%25?不是说无论GET和POST表单都会被URL编码然后才提交到服务器吗? 也尝试抓包,发现的报文也确实是%01,三个字符那么是不是URL也会区别字符串? 我也尝试了使用其他的字符,但是好像只有%不会被转码?所以就很疑惑,这个还有例外?! 然后调试了一下PHP ,传过来的时候就已经被解析成了字符,那更有疑问了...附上了图片 是到了PHP之前服务器有个东西就去解析完了才发的PHP 还是说PHP竟然认识URL编码?不可能啊.... 因为我压根就不懂后端PHP这些解析参数的顺序...问了很多CTFer也是布吉岛只能胡猜 求大大解惑...因为XSS一直没学好,对前端到后端编码转换这块确实不熟悉,网上也是各种不一致的解...
