@路人甲:

在甲方工作，自己负责的业务时间长了业务基本稳定之后就很难能挖出啥比较有意思的洞了，感觉个人产出和价值大不如前，师傅们一般怎么突破瓶颈呢

@Noob:

大大您好~我有一个参数解析问题，源于您的博文一些不包含数字和字母的webshell | 离别歌 《一些不包含数字和字母的webshell》 GET参数值有(‘%01’^’`’)但是URL好像并没有把%编码为%25?不是说无论GET和POST表单都会被URL编码然后才提交到服务器吗？ 也尝试抓包，发现的报文也确实是%01，三个字符那么是不是URL也会区别字符串？ 我也尝试了使用其他的字符，但是好像只有%不会被转码？所以就很疑惑，这个还有例外？！ 然后调试了一下PHP ，传过来的时候就已经被解析成了字符，那更有疑问了...附上了图片 是到了PHP之前服务器有个东西就去解析完了才发的PHP 还是说PHP竟然认识URL编码？不可能啊.... 因为我压根就不懂后端PHP这些解析参数的顺序...问了很多CTFer也是布吉岛只能胡猜 求大大解惑...因为XSS一直没学好，对前端到后端编码转换这块确实不熟悉，网上也是各种不一致的解...

图片

附件