Closed ba0gu0 closed 2 years ago
感谢反馈,首先加标记会造成流量规则,容易被流量设备检测
其实 Neo-reGeorg
对这样的情况已经有解决方案,可使用--cut-left
和--cut-right
设置前后被追加内容的偏移位,从而获取到正确的base64数据
并且如果你没有使用-f
参数伪造页面内容的话,会有自动计算出--cut-left
和--cut-right
的偏移位提示
尴尬,我下载的release版本,3.6的,没有--cut-left参数。 我直接clone吧。
喔 不好意思 因为主分支在弄 3.8 的预览,忘记发布 3.7版本了,我待会 release 一下 哈哈哈
添加偏移位的方式不太友好哎,需要自行分析获取需要添加的前后偏移位数,不调试程序获取不到偏移位数。
还有刚测试了这两个参数,在Check webshell存活的时候,页面内容为注释的html代码,这个时候有些中间件不对这些内容进行修改,导致偏移获取到的内容缺少。
你使用了-f
指定伪造的内容文件吗?正常 --cut-left
和--cur-right
是自动计算出来的,不会不友好
https://github.com/L-codes/Neo-reGeorg/blob/d1bcea93354f5475d2c5add3c0563dad25f9bfdc/neoreg.py#L543-L548
目前还没遇到页面内容为注释的html代码,这个时候有些中间件不对这些内容进行修改,导致偏移获取到的内容缺少
session_mark
,不能作为标记配置,这样流量的传输会被标记
不过使用正则匹配的方式可以解决你遇到的问题,我考虑加入 v3.8.0 版本,感谢建议
新增了 --extract
参数进行正则提取,代码参考: https://github.com/L-codes/Neo-reGeorg/commit/e2eca19451c26c621b3804864b81e76759c4f0c3
现在针对问题的需求
<html><p>原始base64数据Hr862cRcRES_9AFMojsEHA</p></html>
可用 --extract '<p>REGBODY</p>'
解决
感谢,确实没有进行界面伪装。 新增表达式贼强,问题已搞定。
遇到问题
解决思路
使用新加函数对requests返回数据的处理
if status == V["OK"]: data = self.mapping_body(response.content) # 添加mapping_body函数,正则处理返回数据 if len(data) == 0: sleep(READINTERVAL) continue else: data = self.decode_body(data)
templates/tunnel.aspx
templates/tunnel.ashx
templates/tunnel.jsp
templates/tunnel.jspx
还需要解决